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序文 


本書は、 IT 管理者、または ThinkVantage® Client Security Solution および Think Vantage Fingerprint Software を 
組織内の PC にデプロイする担当者を対象としています。本書は、 Client Security Solution および指紋認証 
ソフトウェアを1台以上の PC にインストールするために必要な情報を提供します。各ターゲット PC で同 
ソフトウェアのライセンスが有効であることが条件となります。 

Client Security Solution と指紋認証ソフトウェアの目的は、クライアント*データを保護することによっ 
てお客様のシステムを保護し、セキュリティー • ブリーチ（抜け穴）を犯そうとする試みを食い止める 
ことです。 Client Security Solution および指紋認証ソフトウェアに組み込まれているさまざまなコン 
ポーネントの使用に関する質問および情報は、そのコンポーネントのオンライン•ヘルプ • システム 
(http://www.lenovo.com/thinkvantage) を参照して く ださい。 

本書は定期的に更新されるため、以下の Web サイトにアクセスして新しい資料を確認してください。 
http :// www . lenovo . com/thmKvantage 

ご提案またはコメントは、 Lenovo® 認定担当者にご連絡ください。 
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第 1 章概要 


本章では 、 Client Security Solution および指紋認証ソフトウェアの概要を示します。本デプロイメント•ガ 
イドで説明されているテクノロジーは、 PC の使い勝手と自己完結性を向上させ、展開を促進し単純 
化する強力なツールを提供するので、 IT プロフェッショナルの方に大きなメリットをもたらします。 
ThinkVantage テクノロジーの支援により、 IT プロフェッショナルの方は、個別の PC の問題を解決する時 
間を短縮できるので、本来の作業に多くの時間を費やすことができるようになります。 


Client Security bolution 

Client Security Solution ソフトウェアの第一の目的は、お客様が資産としての PC を保護し、 PC 上の機密 
データを保護し、さらに PC がアクセスするネットワーク接続を保護することを補助することです。 

(TCG (Trusted Computing Group ) という業界団体が仕様を定めている TPM (Trusted Platform Module ) を含 
む Lenovo システムの場合 、 Client Security Solution ソフトウェアは、システムのトラステッド•ルート 
としてハードウェアを活用します。システムにエンべデッド • セキュリティー*チップが含まれてい 
ない場合 、 Client Security Solution は、システムのトラステッド • ルートとしてソフトウェア • ベース 
の暗号化鍵を活用します。） 

Client Security Solution バージョン 8.2 には、以下の機能が含まれています。 

• Windows ® パスワードまたは Client Security Solution パスフレーズによるユーザー認証の保護 

Client Security Solution は、認証の際にユーザーの Windows パスワードまたは Client Security Solution パス 
フレーズを受け入れるように構成できます。 Windows パスワードの場合は Windows を使用するため、 
便利で管理が容易です 。 Client Security Solution パスフレーズではセキュリティーが強化されます。 
どちらの認証方式を使用するかは管理者が選択でき、この設定はユーザーが Client Security Solution 
に登録した後でも変更することが可能です。 

• 指紋によるユーザー認証 

内蔵、または USB 接続の指紋センサーを活用し、パスワードで保護されたアプリケーションに対し 
てユーザーを認証します。 

• 多層のユーザー認証による Windows ログオンおよびさまざまな Client Security Solution 操作 

さまざまなセキュリティー関連操作に対して複数の認証装置 （ Windows パスワード / Client Security パスフ 
レーズ、および指紋）を定義します。 

. パスワード管理 

ユーザー ID やパスワードなどの重要なログオン情報を安全に管理し、保存します。 

. パスワード/パスフレーズの復元 

パスワードおよびパスフレーズの復元を利用して、 Windows パスワードまたは Client Security Solution パ 
スフレーズを忘れた場合でも、事前に構成されたセキュリティーの質問に答えることにより 、 Windows 
にログインし 、 Client Security Solution クレデンシャルにアクセスすることができます。 

• セキュリティー設定の監査 

ユーザーが、詳細なワークステーション•セキュリティー設定のリストを表示し、定義された規格 
に準拠するように変更できるようにします。 

• ディジタル証明書の転送 

Client Security Solution は、ユーザーと PC の証明書の秘密鍵を保護します 。 Client Security Solution を 
使用することにより、既存の証明書の秘密鍵が保護されます。 

• 認証のポリシー管理 

管理者は 、 Windows ログオン 、 Password Manager 、 および証明書の操作といったアクションの場合、認 
証にどの装置 （ Windows パスワード 、 Client Security Solution パスフレーズ、または指紋）が必要かを 
選択することができます。 
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Client Security Solution パスフレーズ 

Client Security Solution パ スフレー ズは 、 Client Security Solution に拡張セキュリテイ ー を提供する、ユ ー 
ザ ー 認証のオプション機能です 。 Client Security Solution パ スフレー ズの要件は、以下のとおりです。 

• 8文字以上の長さ 

• 数字が1文字以上入っていること 
• 最近の3回のパスフレーズと異なること 
• 反復文字は2文字以内 
• 先頭に数字を使用しない 
• 末尾に数字を使用しない 
• ユーザー ID を含めない 

• 現在のパスフレーズを設定してから3日以内は変更しない 
• 現在のパスフレーズと同一の文字を連続して3文字以上使用しない 

• Windows パスワードと異なる 

Client Security Solution パスフレーズを知っているのは個々のユーザーだけです 。 Client Security Solution パ 
スフレーズを忘れた場合に復元する唯一の方法は 、 Client Security Solution パスワード復元機能を実行する 
ことです。ユーザーが復元のための質問に対する回答を忘れてしまった場合 、 Client Security Solution 
パスフレーズで保護されたデータを復元する方法はありません。 

Client Security パスワードの復元 

このオプション機能を使用すると、登録された Client Security ユーザーは、 Windows パスワードや Client 
Security パスフレーズを忘れた場合に、3つの質問に正しく答えることにより、復元することができま 
す。この機能が有効である場合、ユーザーは、10の質問の中から3つを選択し、それぞれの質問に対 
する回答を入力します。ユーザーが Windows パスワードや Client Security パスフレーズを忘れた場合 
は、これら3つの質問に回答して、そのパスワードやパスフレーズを自分でリセットするというオプ 
ションが用意されています。 

注： 

1. Client Security パスフレーズを使用する場合 、 Client Security パスワードの復元機能は忘れたパスフレー 
ズを復元するための唯一のオプションです。ユーザーは、それら3つの質問に対する回答を忘れた場 
合、登録ウイザードを再実行しなくてはならず、前の Client Security 保護データはすべて失われます。 

2. Client Security を使用して Rescue and Recovery ® ワークスペースを保護する場合、『パスワード復元』 
オプションによって、ユーザーの Client Security パスフレーズおよび/または Windows パスワードが実 
際に表示されます。パスフレーズまたはパスワードが表示されるのは 、 Rescue and Recovery ワークス 
ペースが Windows パスワードの変更を自動的に実行する機能を持たないためです。ワイヤレス （ネッ 
トワークに接続されていない口ーカル.キャッシュ.ドメイン）ユーザーが Windows ログオンでこの 
機能を実行する場合にも、パスフレーズまたはパスワードが表示されます。 

Client Security Password Manager 

Client Security Password Manager を使用すると、ユーザー ID 、 パスワード、およびその他の個人情報など 
の、忘れやすいアプリケーションや Web サイトの情報を管理することができます 。 Client Security 
Password Manager は、ユーザーのアプリケーションや Web サイトへのアクセス全体がセキュアに保た 
れるように 、 Client Security Solution によってユーザーの個人情報を保護します。また 、 Client Security 
Password Manager プログラムでは、1つのパスワードまたはパスフレーズを覚えておくか、指紋を使用 
すればよいため、時間と労力が節約されます。 

Client Security Password Manager を使用すると、以下の機能を実行できます。 
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• Client Security Solution ソフトウェアによるすべての保存情報の暗号化 

Client Security Solution によって ユーザーの すべての情報が自動的に暗号化されます。これにより、重要 
なパスワード情報が 、 Client Security Solution 暗号化鍵によって保護されます。 

• ユーザー id とパスワードの自動入力 

アプリケーションまたは Web サイトにアクセスする際に、ログイン•プロセスを自動化します。ログ 
オン情報が Client Security Password Manager に入力されている場合は 、 Client Security Password Manager が 
自動的に必須フィールドへの記入を行い、 Web サイトまたはアプリケーションに実行依頼します。 

• Client Security Password Manager インターフェースを使用した項目の編集 

アカウント項目を編集し、すべてのオプション機能を1つの使いやすいインターフェースにセットアッ 
プすることができます。このインターフェースにより、パスワードと個人情報の管理を迅速かつ容易に 
行えるようになります。ただし、変更に関連する項目のほとんどは Client Security Password Manager が自 
動的に検出できるため、ユーザーはさらに簡単に項目を更新できます。 " 

• 追加ステップを必要としない情報の保存 

Client Security Password Manager は、重要情報が特定の Web サイトまたはアプリケーションに送信され 
ると、それを自動的に検出できます。重要情報を検出すると 、 Client Security Password Manager はユー 
ザーにプロンプトを出して情報を保存するように促し、重要情報の保存プロセスを単純化します。 

• セキュア•スクラッチ•パッドへの情報の保存 

Client Security Password Manager を使用して、ユーザーはテキスト • データをセキュア • スクラッチ • 
パッドに保存することができます。ユーザーのセキュア•スクラッチ•パッドは、他の Web サイトや 
アプリケーションの項目と同じレベルのセキュリティーで保護できます。 

• ログイン情報のエクスポートとインポート： 

重要な個人情報をエクスポートして、その情報を PC 間で安全に移動させることができます 。 Client 
Security Password Manager からログイン情報をエクスポートすると、パスワードで保護されたエクス 
ポート•ファイルが作成されます。このファイルは、リムーバブル•メディアに保存することができ 
ます。このファイルを使用して、あらゆる場所でユーザーの個人情報にアクセスしたり 、 Client Security 
Password Manager を使用して項目を別の PC にインポートします。 

注： Client Security Solution バージョン 7.0 および 8. x のエクスポート•ファイルのインポートは完全 
にサポートされています 。 Client Security Solution バージョン 6.0 の場合は、インポートが限定的に 
サポートされています（アプリケーション項目はインポートされません )。 Client Security Software 
Solution バージョン 5.4 x およびこれ以前のバージョンは 、 Client Security Solution バージョン 8 .x Password 
Manager にインポートされません。 

Security Advisor 

Security Advisor を使用すると、現在 PC に設定されているセキュリティー設定の要約を表示できます。こ 
れらの設定値を使用して、現在のセキュリティー状況を表示したり、システム•セキュリティーを強化す 
ることができます。表示されるカテゴリーのデフォルト値は、 Windows レジストリーによって変更でき 
ます。以下に、セキュリティー•カテゴリーの一例を示します。 

• ハー ドウェア • パスワード 

• Windows ユーザー.パスワード 

• Windows パスワード.ポリシー 
• 保護スクリーン•セーバー 

• ファイル共有 

証明書転送ウィザード 

Client Security の証明書転送ウィザードは、ソフトウェア • ベースの Microsoft ® 暗号サービス • プロバイ 
ダー （ CSP ) からハードウェア • ベースの Client Security Solution CSP に、証明書に関連した秘密鍵を転送す 
るすベてのプロセスをガイドします。転送が行われた後は、秘密鍵が Client Security Solution によって保護 
されるため、証明書を使用する操作はよりセキュアになります。 
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ハードウェア’パスワードのリセット 

このツールは、 Windows から独立して稼動するセキュアな環境を作成し、忘れてしまったパワーオン* 
パスワードやハードディスク•パスワードをリセットする際に役立ちます。 ID は、自分で作成した一 
連の質問に回答することによって設定されます。パスワードを忘れる前に、このセキュアな環境をで 
きるだけ早く作成してください。登録後、ハードディスク上にこのセキュアな環境を作成するまで 
は、忘れてしまったハードウェア•パスワードをリセットすることはできません。このツールは、一 
部の PC を選択した場合のみ、使用可能です。 

TPM のないシステムのサポート 

Client Security Solution バージョン 8.2 は現在、対応するエンべデッド.セキュリティ ー •チップのない 
Lenovo システムをサポートしています。このサポートにより、一貫したセキュアな環境を作成するため 
に、全社的な標準インストールを行うことが可能になります。組み込みセキュリティー•ハードウェ 
アを持つシステムは、アタックに対して、より堅固ですが、追加のセキュリティーと機能性もソフ 
トウェア専用 PC にとって有益です。 


Fingerprint software 

Lenovo が提案する指紋センサーの目的は、パスワードの管理に関連したコストの削減やシステムに対する 
セキュリティーの強化においてお客様を補助し、お客様が規制に対応できるようにすることです。 Lenovo 
社の指紋センサーとともに、指紋認証ソフトウェアを使用すると、個々の PC およびネットワークで 
の指紋認証が可能になります。 Client Security Solution バージョン 8.2 と結合された指紋認証ソフトウェ 
アは、拡張機能を提供します。 Client Security Solution 8.21 の場合は、マシン•タイプが異なっても、 

Think Vantage 指紋認証ソフトウェア 5.8.2 と Lenovo Fingerprint Software 2.0 の両方がサポートされます。 

Web サイト http://www.lenovo.com/support/site.wss/MIGR- 59650 .html には Lenovo 指紋センサーについての 
詳細があり、ソフトウェアをダウンロー ドすることができます。 

指紋認証ソフトウェアは、以下の機能を提供します。 

• Client Security Software の機能 

- Microsoft Windows パスワードの置換： 

パスワードをお客様の指紋に置き換えて、容易で高速、かつ安全なシステム•アクセスを提供 
します。 

- BIOS パスワード（パワーオン • パスワードとも呼ばれます）およびハードディスク.パスワードの置 
換： 

パスワードをお客様の指紋と置き換えて、ログオン • セキュリティーと利便性を高めます。 


- SafeGuardEasy でドライブ全体を暗号化するための起動前指紋認証： 

指紋認証を使用して、 Windows の起動前にハードディスクを暗号化解除します。 

- BIOS および Windows へのシングル，スワイプ • アクセス： 

起動時に指紋をセンサーに読み込ませるだけで、 BIOS と Windows にアクセスすることができるの 
で、貴重な時間を節約することができます。 

- Client Security Solution との統合： 

Client Security Solution Password Manager と併用して、 TPM を活用します。ユーザーは、指紋センサー 
に読み込ませて Web サイトにアクセスし、アプリケーシヨンを選択します。 

• 管理者機能 

-セキュリティー•モードの切り替え： 

管理者は、保護モードと簡易モードを切り替えて、制限ユーザーのアクセス権限を変更するこ 
とができます。 

• セキュリティー機能 


4 Client Security Solution 8.21 デプロ イメント • ガイド 




ソフトウエア • セキュリテイー： 

システムに保存する際や、読み取り装置からソフトウェアに転送する際に、強い暗号化によ 
り、ユーザー•テンプレートを保護します。 

ハードウェア*セキュリティー： 

セキュリティー読み取り装置には、指紋テンプレート、 BIOS パスワード、および暗号鍵を保存し保 
護するコプロセッサーがあります。 
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第 2 章インス!^ール 

本章では 、 Client Security Solution および指紋認証ソフトウエアをインストールする手順について説明しま 
す 。 Client Security Solution または指紋認証ソフトウエアをインストールする前に、インストールするアプ 
リケーションのアーキテクチャーを理解する必要があります。本章では、各アプリケーションのアーキテ 
クチャー、およびすベてのプログラムをインストールする前に必要な追加情報について説明します。 


Client Security Solution 

Client Security Solution のインストール-パッケージは 、 InstallShield 10.5 Premier によって Basic MSI プロ 
ジェクトとして開発されました。 InstallShield は、 Windows インストーラーを使用してアプリケーションを 
インストールします。これにより、管理者には、コマンド•ラインからのプロパティ値の設定などの、イ 
ンストールをカスタマイズする多くの機能が提供されます。この章では 、 Client Security Solution セット 
アップ • パッケージの使用および実行方法にっいて説明します。より正しく理解するために、パッケー 
ジのインストールを開始するために、章全体をお読みください。 

注： これらのパッケージをインス I -ールするときは 、 Client Security Solution の README ファイルを参照し 
てください。次の Lenovo Web サイトを参照してください。 

http :// www . Ienovo . com / support / site . wss / document . do ? sitestvle = lenovo & lndocid = HOME-LENOVO 

README ファイルには、ソフトウェア•バージョン、サポートされるシステム、システム要件、および 

インストール • プロセスに役立っその他の考慮事項に関する最新の情報が含まれています。 

インストール要件 

このセクションでは 、 Client Security Solution パッケージをインストールするためのシステム要件を説明し 
ます。最良の結果を得るために、次の Web サイトにアクセスして、ソフトウェアが最新版であることを 
確認してください。 

http :// support . lenovo . com/en US / downloads / detail . page ? LegacvDocID = MIGR -61432 


以前に販売された PC でも、指定された要件を満たしていれば 、 Client Security Solution がサポートされま 
す。以前に販売された PC で 、 Client Security Solution がサポートされるものについて詳しくは、 Web サイ 
卜 http :// support . lenovo . com / en _ US / downloads / detail . page ? LegacyDocID = MIGR - 61432を参照して ください。 

Lenovo PC の要件 

Client Security Solution をインストールするには 、 Lenovo PC が次の要件を満たしているか、それ以上で 
あることが必要です。 

• オペレーティング•システム ： Windows Vista®、Windows Vista (Service Pack 1適用済み)、または 
Windows XP (Service Pack 3 適用済み)。 

• メモリー： 256 MB 以上推奨 

-共用メモリー設定の場合、共用メモリーの BIOS 設定を8 MB 以上に設定する必要があります。 

-非共用メモリー設定の場合、非共用メモリーは120 MB 以上です。 

•Internet Explorer 5.5 以上がインストールされていなければなりません。 

• ハードディスク空き容量300 MB 。 

• 解像度 800 x 600 および24ビット • カラーをサポートする VGA 対応ビデオ。 

• ユーザーは client Security Solution をインストールするための管理特権を持っている必要があります。 

• ハードウエア • パスワードをリセットする場合の追加要件： NTFS および WindowsXP 。 

注 ： Windows Server 2003への Client Security Solution インストール • パッケージのデプロイはサポートさ 
れていません。 
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カスタム _ パブリック_プロパティ 

Client Security Software プログラムのインストール • パッケージには、インストールの実行時にコマンド • 
ラインで設定できる、一連のカスタムパブリック•プロパティが含まれています。次の表に 、 WindowsXP 
および Windows 2000のカスタム•パブリック • プロパティを示します。 

表 1. パブリック .プロパティ 


プロパティ 

説明 

EMULATIONMODE 

TPM が存在する場合でも、強制的にエミュレーション • 
モードでインストールを実行するように指定します。エ 
ミュレーション•モードでインストールするには、コ 
マンド • ラインで EMULATIONMODE = l と設定します。 

HALTIFTPMDISABLED 

TPM が使用不可状態で、インストールがサイレント • 
モードで実行されている場合、デフオルトではイン 
ストールをエミュレーシヨン•モードで進めます。イ 
ンストールをサイレント*モードで実行するときは、 
HALTIFTPMDISABLED =1 プロパティを使用して 、 TPM 
が使用不可の場合にインストールを停止します。 

NOCSSWIZARD 

Client Security Solution のインストール後に Client Security 
Solution 登録ダイアログが自動的に表示されないように 
するには、コマンド • ラインで NOCSSWIZARD = l を設 
定します。このプロパティは 、 Client Security Solution は 
インストールしても、システムの構成は後でスクリプ 
卜を使用して行う管理者のために構成されています。 

CSS _ CONFIG_SCRIPT 

ユーザーがインストールを完了し、再起動した後に構 
成フアイルを実行するには、 CSS _ CONFIG _ SCRIPT = 
『 filename 』 3;たは 『 filenamepassword 』 を設疋_し3;す。 

SUPERVISORPW 

コマンド.ラインで SUPERVISORS W =『 password 』 と 
設定すると、スーパーバイザー • パスワードが提供さ 
れ、サイレント • インストール • モードでも非サイレン 
卜•インストール • モードでも、チップが使用可能に 
なります。チップが使用不可で、インストールをサイレ 
ント•モードで実行する場合、チップを使用可能にする 
には正しいスーパーバイザー • パスワードを入力する必 
要があります。パスワードが正しくないと、チップは 
使用可能になりません。 

PWMGRMODE 

Password Manager のみをインストールするには、コマン 
ド-ラインで PWMGRMODE = l と設定します。 

NOSTARTMENU 

『スタート』メニューにショートカットが生成 
されないようにするには、コマンド•ラインで 
NOSTARTMENU = l と設定します。 


TPM (Trusted Platform Module ) のサボート 

Client Security Solution バージヨン 8.2 では、 PC のエンべデッド•セキュリティー•ハードウェアである 
TPM (Trusted Platform Module ) がサポートされています 。 Windows 2000および XP では、ご使用のシステム 
の TPM 用ドライバーのダウンロー ドが必要になる場合があります 。 Windows Vista が稼働している PC に 
このオペレーティング • システムがサポートする TPM が組み込まれている場合 、 Client Security Solution は 
オペレーティング • システムが提供するドライバーを使用します。 

TPM はシステムの BIOS によって有効になるため、 TPM を使用できるようにするために再起動が必要 
になる場合があります 。 Windows Vista が稼働している場合、システムの起動時に TPM を有効にす 
るかどうかの確認が求められます。 
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TPM によっていずれかの機能が実施される前に、最初に所有権を初期化する必要があります。各システム 
は、 Client Security Solution オプションを制御する1人の Client Security Solution 管理者を持ちます。この 
管理者は、 Windows 管理者権限を持っている必要があります。管理者は XML デブロイメント•スク 
リプトを使用して初期化することができます。 

システムの所有権が構成された後は、このシステムにログインする追加の各 Windows ユーザーに、ユー 
ザーのセキュリティー • キーおよびクレデンシャルを登録し初期化するためのプロンプトが Client Security 
セットアップ • ウィザードによって自動的に出されます。 

TPM のソフトウェア•エミユ レーシヨ ン 

Client Security Solution には、限定されたシステム上で TPM を使用せずに実行するオプションが用意さ 
れています。この機能は、ハードウェア保護キーを使用する代わりにソフトウェア•ベースのキーを 
使用する以外は同じです。ソフトウェアは、 TPM に効力を与える代わりに、常にソフトウェア•ベー 
スのキーを使用するように強制するスイッチでインストールすることが可能です。このスイッチを使 
用するかどうかはインストール時の決定で、ソフトウェアのアンインストールおよび再インストー 
ルをせずに戻すことはできません。 

TPM のソフトウェア • エミュレーションを強制する構文は以下の通りです。 

InstallFile.exe *7v EMULATI0NM0DE=1” 

インストール手順およびコマ ンド • ライン • パラメーター 

Microsoft Windows インストーラーは、コマンド • ライン•パラメーターによって、複数の管理機能を提供 
します。 Windows インストーラーは、ワークグループによる使用またはカスタマイズのために、アプリ 
ケーションまたは製品のネットワークへの管理用インストールを実行できます。コマンド•ライン•才 
プションには、パラメーターを指定することが必要です。この場合、オプションとパラメーターの間 
にスペースは入れません。次に例を示します。 
setup.exe Is /v"/qn REB00T=”R”" 

は有効ですが、 

setup.exe Is h "/qn REB00T=”R”" 

は無効です。 

注：インストールを単独で実行すると（パラメーターを指定せずに setup.exe を実行すると)、デフォルトで 
は、インストール終了時にユーザーに再起動を促すプロンプトが出されます。プログラムを正しく機能さ 
せるには、再起動する必要があります。上記のセクションおよび例のセクションで示すように、サイレン 
卜•インストールではコマンド • ライン • パラメーターを使用して再起動を遅らせることができます。 

Client Security Solution インストール • パッケージの場合、管理用インストールによりインストール • ソー 
ス • ファイルが指定された場所に解凍されます。 

管理用インストールを実行するには、セットアップ • パッケージをコマンド • ラインから / a パラメー 
ターを使用して実行します。 

setup.exe /a 

管理用インストールは、管理ユーザーにセットアップ • ファイルの解凍先を指定するようプロンプトを出 
すウィザードを表示します。デフォルトの解凍先は C :¥ です。 C :¥ 以外のドライブ（その他のローカル•ド 
ライブ、または割り当てられたネットワーク • ドライブなど）の新しい場所を選択することもできます。 
新しいフォルダーも、この手順で作成できます。 

管理用インストールをサイレント•インストールで実行する場合、解凍先の場所を指定するために、コマ 
ンド • ラインで次のようにパブリック • プロパティ TARGETDIR を設定することができます。 

setup.exe Is /v"/qn TARGETDIR=F ： TVTRR" 

または 

msiexec.exe /i "Client Security - Password Manager.msi" /qn TARGERDIR=F：¥TVTRR 
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注： setup.exe は、 Windows インストーラーのバージョンが最新ではない場合に Windows インストーラー • 
エンジンをバージョン 3.0 に更新するように構成されています。この更新が行われると、管理用の解凍イ 
ンストールの場合でも、インストール•アクションによって再起動のプロンプトが出されます。この状態 
での再起動を防止するために、再起動を適切に行ってください。 Windows インストーラーがバージョン 
3.0 以上である場合、 setup.exe は Windows インストーラ ー • エンジンの更新を試行しません。 

管理用インストールが完了した後、管理者はソース • ファイルをカスタマイズ（たとえば、レジストリーに 
設定値を追加）することができます。カスタマイズした後に解凍したソースからインストールするには、 
ユーザーはコマンド • ラインで msiexec.exe を実行し、解凍された MSI ファイルの名前を引き渡します。 

以下のパラメーターと説明は、 InstallShield Developer のヘルプ文書に記載されています。基本 MSI プロ 
ジェクトに適用されないパラメーターは、除かれています。 


表 2 . パラメーター 


パラメーター 

説明 

/a :管理用インストール 

/a スイッチを指定すると、 setup.exe で管理用インストー 
ルが実行されます。管理用インストールは、データ¬ 
ファイルをユーザーが指定したディ レクトリーにコピー 
(および解凍）しますが、ショートカットの作成、 COM 
サーバーの登録、アンインストール • ログの作成は行 
いません。 

/X: アンインストール • モード 

/x スイッチを指定すると、 setup.exe は以前にインストー 
ルした製品をアンインストールします。 

/S: サイレント • モード 

コマンド setup.exe /s を実行すると、基本 MSI インストー 
ル•プログラム用の setup.exe 初期設定ウィンドウは表示 
されず、応答ファイルは読み取られません。基本 MSI プ 
ロジェクトでは、サイレント•インストールの場合、応 
答ファイルは作成も使用もされません。基本 MSI 製品を 
サイレントで実行するには、コマンド•ライン setup.exe 
/s/v/qn を実行します。（基本 MSI のサイレント•インス 
トールのパブリック • プロパティ値を指定する場合は、 
setup.exe /s /v"/qn INSTALLDIR=D:¥Destination" などのコ 
マンドを使用できます。） 

/v : Msiexec への引数の受け渡し 

/v 引数を使用して、 msiexe.exe にコマンド • ライン•ス 
イッチとパブリック • プロパティの値を渡します。 

/L: 言語のセットアップ 

ユーザーは、 /L スイッチと 10 進言語 ID を使用して、 

複数言語インストール • プログラムで使用する言語を 
指定します。たとえば、ドイツ語を指定するコマンド 
は setup.exe/L1 031 です。 

/w :待機 

基本 MSI プロジェクトで引数 /w を指定すると、 setup.exe 
は、インストールが完了するのを待ってから終了しま 
す。バッチ•ファイルで /w オプションを使用すると、 
setup.exe のコマンド • ライン引数全体を start / WAIT で開 
始することができます。正しくフォーマットされたコマ 
ンドの使用例は、次のとおりです。 
start /WAIT setup.exe /w 


msiexec.exe の使用 

カスタマイズした後に解凍したソースからインストールするには、コマンド•ラインで msiexec.exe を実行 
し、解凍された*. MSI ファイルの名前を渡します。 msiexec.exe は、インストール•パッケージを解釈し、 
製品をターゲット PC にインストールするために使用するインストーラーの実行可能プログラムです。 

msiexec /i " C ：¥ WindowsFolder ¥ Profiles ¥ UserName ¥ 

PersonalYMySetupsYproject nameYproduct configurationYrelease name ¥ 

DisklmagesYDisklYproduct name . msi " 
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注：上記のコマンドを、円記号の後にスペースを入れずに1行として入力します。 

次の表では、 msiexec . exe で有効なコマンド • ライン•パラメーターと、その使用方法を説明します。 


表 3. コマンド • ライン • パラメーター 


パラメーター 

説明 

/I package /こは product code 

このフォーマツトは製品のインストールに使用します。 

Othello：msiexec /i "C：¥WindowsFolder¥Profiles¥ 

UserNameYPersonalYMySetups 
¥Othello¥Trial VersionY 

Release¥DiskImages¥Diskl¥ 

Othello Beta.msi" 


製品コードとは、製品のプロジェクト.ビューの製品コード.プロパティで 
自動的に生成されるグローバルー意識別子 (GUID) のことです。 

/a package 

/a オプションにより、管理者権限を持つユーザーは製品をネットワーク上 
にインストールできます。 

/x package または product code 

/X オプションは、製品をアンインストールします。 

/L [i|w|e|a|r |u|c|m|p|v|+] log file 

/L オプションを使用して作成すると、ログ • ファイルへのパスが指定され 
ます。以下のフラグは、ログ•ファイルに記録する情報を示しています。 

• 土は、状況メッセージをログに記録します 

• w は、致命的でない警告メッセージをログに記録します 

• e は、すべてのエラー•メッセージをログに記録します 

• a は、アクション•シーケンスの開始をログに記録します 

• r は、アクション固有のレコードをログに記録します 

• u は、ユーザー要求をログに記録します 

• c は、初期ユーザー•インターフェース•パラメーターをログに記録 
します 

. m は、メモリー不足メッセージをログに記録します 

• p は、端末設定をログに記録します 

. V は、冗長出力設定をログに記録します 

• +は、既存ファイルに付加します 

• * は、すべての情報を（冗長出力設定を除いて）ログに記録できるワイ 
ルドカード文字です 

/q [n|b|r|f] 

/q オプションを以下のフラグと併用して、ユーザー•インターフェー 
ス • レベルを設定します。 

• q または qn は、ユーザー•インターフェースを作成しません。 

• qb は、基本ユーザー•インターフェースを作成します。 


下記のユーザー•インターフェース設定により、インストール終了時にモー 
ダル•ダイアログ • ボックスが表示されます。 

• qr は、縮小ユーザー•インターフェースを表示します。 

• qf は、完全なユーザ— r ンターフェースを表示します。 

• qn+ は、ユーザー•インターフェースを表示しません。 

• qb+ は、基本ユーザ— r ンターフェースを表示します。 

/? または /h 

いずれかのコマンドにより、 Windows インストーラーの著作権情報が表示 
されます。 
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表 3. コマンド-ライン. パラメーター (続き) 


パラメーター 

説明 

TRANSFORMS 

TRANSFORMS コマンド.ライン.パラメーターを使用して、基本パッケー 
ジに適用する変換を指定します。 

msiexec /i " C ：¥ WindowsFoLder ¥ 

Profile s ¥ UserName¥Personal 
¥ MySetups ¥ 

Your Project NameYTriaL VersionY 

My Release -1 
¥ DiskImages ¥ Diskl ¥ 

ProductName . msi " TRANSFORMS="New Transform l . mst " 


複数の変換をセミコロンで分離できます。 Windows インストーラー • サービ 
スが誤って解釈しないように、変換の名前にセミコロンを使用しないで 
ください。 

Properties 

すべてのパブリック • プロパティはコマンド • ラインで設定または変更 
できます。パブリック • プロパティはプライべート•プロパティと区別さ 
れ、すべて大文字です。たとえば、 C . OMPANYNAME はパブリック•プ 
ロパティです。 


コマンド • ラインからプロパティを設定するには、次の構文を使用します。 

PROPERTY=VALUE 


C . OMPANYNAME の値を変更するには、次のように入力します。 

msiexec /i " C ：¥ WindowsFoLder ¥ 

Profile s ¥ UserName ¥ Personal ¥ 

MySetupsYYour Project NameY 

Trial VersionYMy ReLease - l ¥ 

DisklmagesYDisklYProductName . msi 11 

COMPANYNAME = l , InstaUShieLd M 


標準 Windows インストーラーのパブリック，プロパティ 

Windows インストーラーには、一連の標準組み込みパブリック • プロパティが あります。 これらのプロパ 
ティをコマンド • ラインで設定して、インストール時の特定の動作を指定する ことができます。 下表に、 
コマンド • ラインで使用される最も一般的なパブリック • プロパティについて説明し ます。 

追加情報については、次の Microsoft Web サイトを参照してください。 
http : // msdn 2 • mi crosoft . com / en - us / librarv / aa 367437 .aspx 

次の表に、一般的に使用される Windows インストーラーのプロパティを示します。 


表 4. Windows インス トーラーのプロパティ 


プロパティ 

説明 

TARGETDIR 

インストール用の宛先のルート•ディレクトリーを指定 
します。管理者用インストールの場合、このプロパティ 
は、インストール•パッケージのコピー先です。 

ARPAUTHORIZEDCDFPREFIX 

アプリケーシヨンの更新チャネルの URL 。 

ARPCOMMENTS 

『コントロールパネル』の『プログラムの追加と削 
除』に『コメント』を提供します。 

ARPCONTACT 

『コントロールパネル』の『プログラムの追加と削除』 

に『連絡先』を提供します。 

ARPINSTALLLOCATION 

アプリケーシヨンの1次フォルダーへの完全修飾パス。 
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表 4. Windows インストーラーのプロパティ(続き) 


プロパティ 

説明 

ARPNOMODIFY 

製品を変更する機能を使用不可にします。 

ARPNOREMOVE 

製品を削除する機能を使用不可にします。 

ARPNOREPAIR 

『プログラム』ウィザードの『修復』ボタンを使用 
不可にします。 

ARPPRODUCTICON 

インストール • パッケージの基本アイコンを指定し 
ます。 

ARPREADME 

『コントロールパネル』の『プログラムの追加と削除』 

に README を提供します。 

ARPSIZE 

アプリケーシヨンの推定サイズ （ KB )。 

ARPSYSTEMCOMPONENT 

『プログラムの追加と削除』のリストにアプリケー シヨ 
ンを表示しないようにします。 

ARPURLINFOABOUT 

アプリケーシヨンのホーム • ページの URL 。 

ARPURLUPDATEINFO 

アプリケーシヨン更新情報の URL 。 

REBOOT 

REBOOT プロパティにより、システムの再起動を促す特 
定のプロンプトが抑止されます。管理者は通常、一連の 
インストールを行う際にこのプロパティを使用して、 
複数の製品を同時にインストールし、最後に一度だけ再 
起動します。インストール終了時の再起動を使用不可に 
するには、 REBOOT =『 R 』 と設定します。 


ログ • ファイルのインストール 

Client Security Solution のインストール • ログ • ファイル cssinstall 82 x 32 .log (Windows XP および Windows 
Vista 32の場合）または css 64 install 82 V.log (Windows Vista 64の場合）は、 setup . exe でセツトアツプが起動す 
ると（メインの install . exe をダブルクリックするか、パラメーターなしでメインの実行可能ファイルを実行 
するか、 msi を解凍して setup . exe を実行します)、 ％ temp % ディレクトリーに作成されます。このファイ 
ルには、インストール問題のデバッグに使用できるログ.メッセージが含まれています。このログ- 
ファイルは、 MSI パッケージからセットアップを直接実行している場合には作成されません。この口 
グ•ファイルには、『プログラムの追加と削除』から実行されるアクションが含まれています。すべて 
の MSI アクションのログ • ファイルを作成するには、レジストリー内のログ • ポリシーを使用可能 
にすることができます。これを行うには、次の値を作成します。 
[ HKEY _ LOCAL _ MACHINE ¥ SOFTWARE ¥ Policies ¥ Microsoft ¥ Windows ¥ Installer ] " Logging " = " voicewarmup " 

インストールの例 

次の表は、 setup . exe を使用したインストールの例です。 


表 5. setup . exe を使用したイ ンス トールの例 


説明 

例 

サイレント*インストール（再起動なし)。 

setup.exe /s / v”/qn REB 00 T =” R ”” 

管理用インストール。 

setup.exe /a 

管理用のサイレント•インストール (Client Security 
Software の解凍先を指定 ) 〇 

setup.exe /a /s / v”/qn TARGETDIR =” F : 

¥ CSS 82，，，， 

サイレント*アンインストール setup.exe /s /x / v / qn 0 

setup.exe /s /x / v/qn 
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表 5. setup.exe を使用したインストールの例(続き) 


説明 

例 

再起動なしのインストール (Client Security Software の 
temp ディレクトリーにインストール•ログを作成） 

setup.exe / v ” REB 00 T =” R ” / L*v % temp % ¥ cssinstall 80.10 g ” 

ワークスペースをインストールしないインストール 
setup.exe / vPDA =0 o 

setup.exe / vPDA =0 


次の表は、 Client Security - Password Manager.msi を使用したインストールの例です 0 
表 6. Client Security - Password Manager.msi を使用したインストールの例 


説明 

例 

インストール 

msiexec /i u C ：¥ CSS 82 ¥CLient Security 

Solution - Password Manager . msi ” 

サイレント•インストール 
(再起動なし） 

msiexec /i u C ：¥ CSS 82 ¥CLient Security 

Solution - Password Manager . msi ” /qn REB 00 T =” R ” 

サイレント • アンインストー 
ノレ 

msiexec /x a C ：¥ CSS 82 ¥CLient Security 

Solution - Password Manager . msi ” /qn 


既存のバージョンがある場合の Client Security Solution 8.21 のインストール 

Client Security Solution は、 System Update を使用して、 Client Security Solution 8.0 からアップグレードできま 
す。 Client Security Solution 8.21 を Client Security Solution 8.0 より前の既存のバ^ージョンと共にインストール 
するには、まず、 Client Security Solution 8.0 をシステムにインストールします。 

Client Security Solution 8.0 は、前のバージョンからのアップグレードとしてインストールすることはで 
きません。 Client Security Solution バ^ージョン 8.0 は既存のバージョンをアンインストールしてからイン 
ストールする必要があります。既存のデータおよび設定を保存するには、次のステップを実行してか 
ら、前のバ^ー ジョンの Client Security Solution を削除してください。 

1 • 次の Lenovo Web サイトから Client Security Solution 8.0 Upgrade Assistant をダウンロードする 0 
http :// www . lenovo . com / support / site . wss / document . do ? sitestyle = lenovo & lndocid = MIGR - 46391 

2. コマンド • ラインから、 Client Security Solution 8.0 Upgrade Assistant をサイレントで実行し、その後に 
前のバージョンの Client Security Solution を削除する 0 

Client Security Solution 7.0 ユーザーの場合は、追加として、 Rescue and Recovery 4.0 をインストールする前に 
Client Security Solution 8.0 にアップグレードする必要があります。 

注：オペレーティング • システムをアップグレードする場合、 Client Security Solution の登録に失敗しない 
ため、セキュリティー•チップのクリアが必要です。 


ThinkVantage 指紋認証ソフトウェアのインストール 

指紋認証ソフトウェア • プログラムの setup.exe ファイルは、以下の方法でインストールできます。 

サイレント • インストール 

指紋認証ソフトウェアをサイレント•インストールするには、 CD-ROM ドライブのインストール • 
ディレクトリーにある setup.exe を実行します。 

このときの構文は次のようになります。 

Setup.exe PROPERTY=VALUE /q /i 

ここで、 q はサイレント•インストール、 i はインストールを表します。次に例を示します。 

setup.exe INSTALLDIR="C：¥Program FiLesYThinkVantage fingerprint software" /q /i 
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このソフトウェアをアンインストールするには、 / i の代わりに / x パラメーターを使用します。 

setup.exe INSTALLDIR="C：¥Proqram FilesYThinkVantage finaerprint software" /q /x 


Options 

指紋認証ソフトウェアでは以下のオプションがサポートされています。 

表 7 . 指紋認証ソフトウェアでサポートされるオプション 


パラメーター 

説明 

CTRLONCE 

コントロール•センターを一度だけ表示します。デ 
フォルト値は 0 です。 

CTLCNTR 

始動時にコントロール•センターを実行します。デ 
フォルト値は 1 です。 

DEFFUS 

• 0 = Fast User Switching (FUS) 設定を使用しません。 

• 1= FUS 設定の使用を試みます。 

デフォルト値は 0 です。 

INSTALLDIR 

指紋認証ソフトウェアのデフォルトのインストール¬ 
ディ レク トリーに入ります。 

OEM 

• 〇 =サーバー.パスポートまたはサーバー認証のイン 
ストールをサポート 

• 1= スタンドアロン PC モードのみ（ローカル•パス 
ポート） 

PASSPORT 

インストール時に設定されるデフォルトのパスポー 
卜 • タイプになります 

• 1= デフォルト-ローカル•パスポート 

• 2 =サーバー.パスポート 

デフォルト値は 1 です。 

SECURITY 

• 1 =セキュア•モードのインストールをサポート 

• 0= インストールしない。便利モードのみ存在 

SHORTCUTFOLDER 

『スタート』メニューのショートカット.フォルダーの 
デフォルト名になります。 

REBOOT 

Really Suppress に設定すると、インストール中は、プロ 
ンプトを含むすべての再起動を行わないようにします。 

DEVICEBIO 

ユーザーにより使用されるデバイス • タイプを構成 
します。登録タイプ： 

• DEVICEBIO=#3 -デバイス•セクターは最初に登録 
する前に使用されます。 

• DEVICEBIO=#0 -ハードディスクへの登録が使用さ 
れます 

• DEVICEBIO=#l - CompanionChip への登録が使用さ 
れます 


Lenovo Fingerprint Software のインスト ー ル 

指紋認証ソフトウェア • プログラムの setup 32. exe ファイルは、以下の手順を使用してインストール 
できます。 
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サイレント"インストール 

指紋認証ソフトウェアをサイレント • インストールするには、 CD - ROM ドライブのインストール • ディレ 
クトリーにある setup 32. exe ファイルを実行します。 

このときの構文は次のようになります。 

setup32.exe /s /v"/qn REBOOT =__R"__ 

ソフトウェアをアンインストールするには、次の構文を実行します。 

setup32.exe /x /s /v"/qn REB00T= l, R M " 

Options 

指紋認証ソフトウェアでは以下のオプシヨンがサポートされています。 


表 8. Lenovo Fingerprint Software でサボートされるオプション 


バラメーター 

説明 

SWAUTOSTART 

• 0 = Windows 起動時に指紋認証ソフトウエアを開始 
しません。 

• 1= Windows 起動時に指紋認証ソフトウエアを開始 
します。 

デフォルト値は1です。 

SWFPLOGON 

• 0 =指紋ログオン （ GINA またはクレデンシャル • プロ 
バイダー）を使用しません。 

• 1=指紋ログオン （ GINA またはクレデンシャル • プロ 
バイダー）を使用します。 

デフォルト値は0です。 

SWPOPP 

• 0 =パワーオン • パスワードの保護を無効にします。 

. 1=パワーオン • パスワードの保護を有効にします。 

デフォルト値は0です。 

SWSSO 

• 0=シングル•サインオン機能を無効にします。 

• 1=シングル•サインオン機能を有効にします。 

デフォルト値は0です。 

SWALLOWENROLL 

. 0=管理者以外のユーザーによる指紋登録を許可し 
ません。 

. 1=管理者以外のユーザーによる指紋登録を許可し 
ます。 

デフォルト値は1です。 

SWALLOWDELETE 

. 0=管理者以外のユーザーによる指紋削除を許可し 
ません。 

. 1=管理者以外のユーザーによる指紋削除を許可し 
ます。 

デフォルト値は1です。 

SWALLOWIMEXPORT 

. 0=管理者以外のユーザーによる指紋のインポート/エ 
クスポートを許可しません。 

. 1=管理者以外のユーザーによる指紋のインポート/エ 
クスポートを許可します。 

デフォルト値は1です。 
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表 8. Lenovo Fingerprint Software でサポートされるオプシ 

ョン(続き) 

パラメーター 

説明 

SWALLOWSELECT 

. 0= 管理者以外のユーザーが指紋を使用してパワーオ 
ン • パスワードを置換する操作を許可しません。 

• 1= 管理者以外のユーザーが指紋を使用してパワーオ 
ン • パスワードを置換する操作を許可します。 

デフォルト値は 1 です。 

SWALLOWPWRECOVERY 

• 0 = Windows パスワードの復元を許可しません。 

• 1 =Windows パスワードの復元を許可します。 

デフォルト値は 1 です。 

SW ANTIHAMMER 

. 0 =連続再試行に対する保護を無効にします。 

• 1= 連続再試行に対する保護を有効にします。 

デフォルト値は 1 です。 

SWANTIHAMMERRETRIES 

最大再試行回数を指定します。デフォルト値は 5 です。 
注： この設定は、 SWANTIHAMMER が有効になっていると 
きにのみ、機能します。 

SWANTIHAMMERTIMEOUT 

タイムアウト期間（秒単位）を指定します。デフォルト 
値は 120 です。 

注： この設定は、 SWANTIHAMMER が有効になっていると 
きにのみ、機能します。 

SWAUTHTIMEOUT 

• 0 =認証タイムアウトを無効にします。 

• 1= 認証タイムアウトを有効にします。 

デフォルト値は 1 です。 

SWAUTHTIMEOUTVALUE 

認証がタイムアウトになるまでの非アクティブ期間（秒 
単位）を指定します。デフォルト値は 120 です。 

注：この設定は、 SWAUTHTIMEOUT が有効になっていると 
きにのみ、機能します。 

SWNONADMIFPLOGONONLY 

. 0= 管理者以外のユーザーによる指紋認証のみの口 
グオンを無効にします。 

. 1= 管理者以外のユーザーによる指紋認証のみの口 
グオンを有効にします。 

デフォルト値は 1 です。 

SWSHOWPOWERON 

• 0= パワーオン•セキュリティー•オプションを表示 
しません。 

• 1=パワーオン•セキュリティー•オプションを常 
に表 7 TC します。 

デフォルト値は 0 です。 

CSS 

• o = c . ss が未インストールであると想定します。 

•1= C . SS がインストール済みであると想定します。 

デフォルト値は 0 です。 


Systems Management Server (SMS) 

System Management Server ( SMS ) のインストールもサポートされています。 SMS 管理者コンソールを開きま 
す。新規パッケージを作成して標準的なパッケージ•プロパティを設定します。そのパッケージを開き、 
『プログラム』項目で『新規プログラム』を選択します。コマンド•ラインに次のように入力します。 
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Setup.exe /m yourmiffilename /q /i 

サイレント•インストールの場合と同じ パラメーターが 使用できます。 


Setup では、通常はインストール•プロセス終了時に再起動します。インストール中は再起動せず、 
後で（さらにいくつかのプログラムをインストールしてから）再起動する場合は、プロパティ • リスト 
に REBOOT =『 ReallySuppress 』 を追加します。 
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第 3 章 Client Security Solution での作業 

Client Security Solution をインストールする前に、 Client Security Solution で選択可能なカスタマイズについ 
て理解する必要があります。この章には、 Client Security Solution のカスタマイズに関する情報および TPM 
(Trusted Platform Module ) に関する情報が記載されています。この章では、 TPM について Trusted Computing 
Group ( TCG ) によって定義された用語を使用します。 TPM について詳しくは、次の Web サイトを参照して 
ください。 

http :// www . tmstedcomputmggroup . org / 


tpm の使用 

TPM は、 TPM を利用するソフトウェアにセキュリティー関連の機能を提供するために設計されたエンべ 
デッド•セキュリティー•チップです。エンべデッド•セキュリティー•チップは、システムのマザー 
ボードに搭載され、ハードウェア•バスを介して通信します。 TPM を導入しているシステムは、暗号鍵を 
作成して暗号化することができ、同じ TPM のみが暗号化を解除することができます。このプロセスは、 
しばしば鍵のラッピングと呼ばれ、鍵の開示を防止するのに役立ちます。 TPM を備えたシステムでは、マ 
スター•ラッピング鍵は、ストレージ•ルート鍵 （ SRK ) と呼ばれ、 TPM 自体の内部に保存されるので、鍵 
の秘密 （ private ) 部分は決して公開されません。エンべデッド•セキュリティー•チップは、他のストレー 
ジ•キー、署名鍵、パスワード、およびデータの他の小ユニットも保存できます。 TPM には記憶容量の 
制限があるので、 SRK はチップ外に記憶するその他の鍵の暗号化に使用されます。 SRK はエンべデッ 
ド • セキュリティー • チップに残されることは決してないので、保護ストレージの基本になっています。 

エンべデッド • セキュリティー*チップの使用はオプシヨンであり、 Client Security Solution 管理者を 
必要とします。個人ユーザーでも企業の IT 部門でも、 TPM は初期設定する必要があります。ハード 
ディスク故障からのリカバリーやシステム • ボードの交換など、その後の操作を行うのは Client Security 
Solution 管理者に限定されます。 

注：認証モードを変更するときにセキュリティー • チップをアンロックしようとする場合、ログアウ 
卜してから、マスター管理者としてログインし直す必要があります。これで、セキュリティー•チッ 
プをアンロックすることができます。2次ユーザーとしてログオンして、認証モードの変換を続ける 
こともできます。この操作は2次ユーザーがログオンすると自動的に行われます。この場合、 Client 
Security Solution によって2 次 ユーザーのパスワードまたはパス フレーズの プロンプトが出されます。 
Client Security Solution が変更の処理を完了すると、2次ユーザーはセキュリティー • チップのアン 
ロック操作に進むことができます。 

Windows Vista での TPM の使用 

Windows Vista ログオンが有効で、 TPM が無効の場合、 Windows ログオン機能を無効にしてから、 FI BIOS 
で TPM を無効にする必要があります。この操作を行うと、『セキュリティー•チップが非アクティブに 
なりました。ログオン*プロセスを保護できません。 (Security chip has been deactivated , the logon process 
cannot be protected )』 というセキュリティー • メッセージが表示されなくなります。 

さらに、クライアント•システムのオペレーティング•システムをアップグレードする場合、 Client 
Security の登録に失敗しないためにセキュリティー • チップのクリアが必要です。 FI BIOS でセキュリ 
ティー•チップをクリアするには、システムをコールド起動する必要があります。ウォームリブートの後 
にこのプロセスを実行しようとすると、セキュリティー • チップをクリアできなくなります。 


Client Security Solution の暗号鍵の管理 

Client Security Solution については、2つの主なデプロイメント.アクティビティーである『所有権の取 
得』と『ユーザー登録』で説明します。 Client Securitv Solution セットアップ•ウィザードを初めて実行す 
る際に、所有権の取得プロセスとユーザー登録プロセスが、どちらも初期設定時に実行されます。 Client 
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Security Solution セットアップ • ウイザードを完了した特定の Windows ユーザー ID は、 Client Security 
Solution 管理者で、アクティブ•ユーザーとして登録されます。システムにログインするその他のユー 
ザーは、すべて Client Security Solution に登録するように自動的に要求されます。 

• 所有権の取得 

単一の Windows 管理者のユーザー ID は、唯一の Client Security Solution 管理者としてシステムに割り当 
てられます。 Client Security Solution の管理機能は、このユーザー ID により実行される必要があります。 
TPM の許可は、このユーザーの Windows パスワードか、 Client Security パスフレーズのいずれかです。 

注： 忘れてしまった Client Security Solution 管理者パスワードまたはパスフレーズからリカバリーする唯 
一の方法は、有効な Windows のアクセス権を使用してこのソフトウェアをアンインストールするか、 
BIOS 内のセキュリティー • チップをクリアするかのいずれかです。いずれの方法でも、 TPM に関連し 
た鍵を介して保護されたデータは、消失します。 Client Security Solution は、忘れてしまったパスワー 
ドまたはパスフレーズを自分で復元できるようにするオプション機構も提供します。このため、パス 
ワードまたはパスフレーズは、ユーザー確認のための質問への応答を基にしています。 Client Security 
Solution 管理者は、この機能を使用するかしないかを決定します。 

• ユーザー 登録 

所有権の取得プロセスが完了し、 Client Security Solution 管理者が作成されると、ユーザー • ベース鍵を 
作成して、現在ログオンしている Windows ユーザーのクレデンシャルを安全に保存することができま 
す。この設計により、複数のユーザーが Client Security Solution に登録し、単一の TPM を利用すること 
ができます。ユーザー鍵は、セキュリティー•チップを介して保護されますが、実際にはチップ外の 
ハードディスクに保存されます。この設計では、セキュリティー•チップに構築された実際のメモリー 
の代わりに、制限のあるストレージ要素としてハードディスク•スペースを作成します。同じセキュ 
ア • ハードウェアを利用できるユーザーの数が飛躍的に増大します。 

所有権の取得 

Client Security Solution のトラステッド • ルートは、システム • ルート • キー （SRK) です。この移動で 
きない非対称鍵は、 TPM のセキュア環境内に生成され、システムに公開されることは決してありま 
せん。この鍵を利用する許可は、 Windows 管理者アカウントにより TPM_TakeOwnership コマンドの実 
行中に得られます。 Client Security パスフレーズを利用している場合、 Client Security Solution 管理者 
の Client Security パスフレーズは、 TPM 許可になり、それ以外の場合は Client Security Solution 管理者 
の Windows パスワードになります。 

システム用に作成された SRK では、その他の鍵ペアは、作成して TPM の外部に保存できますが、ハード 
ウェア • ベースの鍵によってラップまたは保護されます。 TPM は SRK を内蔵するハードウェアであり、 
ハードウェアは損傷することがあるので、システムへの損傷によりデータ • リカバリーが妨げられない 
ようにするためにリカバリー機構が必要です。 

システムをリカバリーするために、システム•ベース鍵 （System Base Key) が作成されます。この非対称ス 
トレージ • キーにより、 Client Security Solution 管理者は、システム • ボード交換や別システムへの計画的 
移行からリカバリーすることができます。システム•ベース鍵を保護しながら、通常の操作またはリカバ 
リー時にアクセスできるようにするために、このキーの2つのインスタンスが作成され、異なる2つの方 
法によって保護されます。最初に、システム•ベース鍵は、 AES 対称鍵を使用して暗号化されます。この 
鍵は、 Client Security Solution 管理者のパスワードまたは Client Security パスフレーズを知っていれば得るこ 
とができます。 Client Security Solution リカバリー • キーのこのコピーは、クリアされた TPM またはハード 
ウェア障害により交換されたシステム • ボードからのリカバリー専用です。 

Client Security Solution リカバリー • キーの2番目のインスタンスは、 SRK によってラップされてキー階層 
にインポートされます。システム•ベース鍵のこの2つのインスタンスにより、 TPM は自身にバインドさ 
れた秘密を通常の使用状態で保護することができ、さらに AES 鍵を使用して暗号化されているシステ 
ム•ベース鍵を介して、障害のあるシステム•ボードをリカバリーすることができます。 AES 鍵は、 
Client Security Solution 管理者パスワードまたは Client Security パスフレーズによってアンロックされます。 
次に、システム • リーフ鍵 （System Leaf Key) が作成されます。このキーは、 AES 鍵など、システム-レべ 
ルの機密事項を保護するために作成されます。 
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次の図に、システム • レベルのキー構造を示します。 


System Level Key Structure - rake Ownership 



図 i. システ厶 • レベルのキー構造-所有権取得 

ユーザー登録 

各ユーザーのデータを同じ TPM によって保護するため、各ユーザーは独自のユーザー • ベース鍵を作成 
します。この移動可能な非対称ストレージ•キーは、2回作成され、各ユーザーの Windows パスワードま 
たは Client Security パスフレーズから生成された対称 AES 鍵によって保護されます。 

次に、ユーザー•ベース鍵の2番目のインスタンスは、 TPM にインポートされ、システム SRK によって 
保護され ます。 作成されたユーザー•ベース鍵では、ユーザー • リーフ鍵 ( UserLeafKey ) と 呼ばれる第2 
非対称鍵が作成され ます。 ユーザー • リーフ鍵は、インターネット* ログオン情報の保護に使用される 
Password Manager AES 鍵、データの保護に使用されるパスワード、およびオペレーティング.システムへ 
のアクセスを防護する Windows パスワード AES 鍵など、個別の秘密事項を保護し ます。 ユーザー- 
リーフ鍵へのアクセスは、ユーザーの Windows パスワードまたは Client Security Solution パスフレーズに 
よって制御され、ログオン時には自動的にロックが解除され ます。 
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次の図に、ユーザー • レベルのキー構造を示します。 


User Level Key Structure - Enroll User 


Trusted Platform Module 



図 2. ユーザー . レベルのキー構造-ユーザー登録 

バックグラウンド登録 

Client Security Solution 8.21 は、自動的に開始されるユーザー登録のバックグラウンド登録をサポートしま 
す。登録プロセスは、通知を表示せずにバックグラウンドで実行されます。 

注： バックグラウンド登録は、自動的に開始されるユーザー登録の場合にのみ、使用できます。『スター 
卜』 メニューまたは 『セキュリティー設定のリセット』 から手動で開始されるユーザー登録の場合は、 
ユーザーがユーザー登録を待機することを示すダイアログが今までどおり表示されます。 

ローカル管理者またはドメイン管理者も、次のようにポリシーを編集することで、待機ダイアログを強 
制的に表示させることができます。 

CSS_GUI_ALWAYS_SHOW_ENROLLMENT_PROCESSING 

あるいは、次のようにレジストリー•キーを編集します。 

HKLM¥software¥policies¥lenovo¥client security solution¥GUI options¥ 

AlwaysShowEnrollment Processing 

ALwaysShowEnroLlment Pro cessing のデフォルト値は 0 です。上記のレジストリー.キーが0に設定された場 
合は、自動的に開始されるユーザー登録の待機ダイアログは表示されません。このポリシーが1に設定さ 
れた場合は、登録が開始される方法に関係なく、ユーザー登録中に必ず待機ダイアログが表示されます。 

ソフトウェア，エミュレーシヨン 

TPM を備えていないコンピューターを使用する ユーザーの 経験レベルを一貫して高めるため、 CSS は 
TPM エミュレーシヨン.モードをサポートしています。 

TPM エミュレーシヨン.モードは、トラステッド•ソフトウェア•ベース.ルートです。ユーザーは、 
TPM によって提供されるのと同じ機能（デジタル署名、対称鍵暗号化解除、 RSA 鍵のインポート、保護、 
および乱数生成など）を使用可能ですが、トラステッド • ルートはソフトウェア • ベースの鍵であるの 
で、セキュリティーは低下します。 
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TPM エミュレーシヨン•モードを、 TPM のセキュアな代替として使用することはできません。 TPM は、 
TPM エミュレーシヨン • モードよりセキュアな、次の2つの鍵保護方法を提供します。 

• TPM によって使用されるすべての鍵が、固有のルート • レベル鍵によって保護されます。固有の 
ルート • レベル鍵は、 TPM 内部に作成され、 TPM 外部で表示したり使用したりすることはできま 
せん。 TPM エミュレーシヨン•モードでは、ルート•レベル鍵は、ハードディスク，ドライブ 
に保存されたソフトウェア • ベース鍵です。 

• すべての秘密鍵操作は TPM 内部で実行されるので、鍵の秘密鍵の材料が、 TPM 外部に露出することは 
ありません。 TPM エミュレーシヨン•モードでは、すべての秘密鍵操作がソフトウェア内で実行さ 
れるので、秘密鍵の材料は保護されません。 

TPM エミュレーシヨン • モードは主に、セキュリティーにはあまり関心がなく、システムのログオン速度 
に強い関心を持つユーザー向けです。 

システム ■ ボードの交換 

システム • ボードを交換するということは、鍵がバインドされていた旧 SRK がもはや無効になり、別の 
SRK が必要とされていることが推測されます。これは TPM が BIOS によりクリアされても起こります。 

Client Security Solution 管理者は、システムのクレデンシャルを新規 SRK にバインドすることを要求されま 
す。システム.ベース鍵は 、 Client Security Solution 管理者クレデンシャルから得たシステム • ベース AES 
保護鍵により暗号化を解除する必要があります。 

Client Security Solution 管理者がドメイン • ユーザー ID であり、そのユーザー ID のパスワードが別の PC 
上で変更されていた場合、リカバリーを必要とするシステムにログオンするときに最後に使用されたパ 
スワードが、リカバリーのためにシステム • ベース鍵の暗号化を解除するために既知である必要がありま 
す。たとえば、デプロイメント中に 、 Client Security Solution 管理者のユーザー ID とパスワードが構成さ 
れており、このユーザーのパスワードが別のマシン上で変更されている場合は、デプロイメント中に設 
定された元のパスワードは、このシステムをリカバリーするための必須権限になります。 

以下のステップに従って、システム • ボードの交換を実施してください。 

1. Client Security Solution 管理者は、オペレーティング • システムにログオンする。 

2. ログオン実行コード （ cssplanarswap . exe ) は、セキュリティー • チップが使用不可になっていることを 
認識し、使用可能にするために再起動を要求する（このステップは、 BIOS によりセキュリティー • 
チップを使用可能にすることで回避できます)。 

3. システムが再起動され、セキュリティー•チップが使用可能になる。 

4. Client Security Solution 管理者がログオンし、次に、新規 Take Ownership プロセスが完了する。 

5. システム•ベース鍵は 、 Client Security Solution 管理者の認証によって得られるシステム基本 AES 保護 
鍵を使用して暗号化を解除される。システム•ベース鍵は、新規 SRK にインポートされて、システ 
ム • リーフ鍵とそれによって保護されているすべてのクレデンシャルを再設定します。 

6. これで、システムはリカバリーされます。 

注： システム•ボードの交換は、エミュレーシヨン•モードの使用時は必要ありません。 
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次の図に、マザーボード•スワップ（所有権取得）の構造を示します。 


Motherboard Swap - lake Ownership 


Trusted Platform Module 



図 3. システム • ボードの交換-所有権取得 

各 ユーザーが システムにログオンする度に、 ユーザー • ベース 鍵が ユーザー 認証から得られる ユーザー • 
ベース AES 保護鍵により自動的に暗号化を解除され 、 Client Security Solution 管理者により作成された新規 
SRK にインポートされます。次の図に、マザ ー ボード•スワップ （ユーザー 登録）の構造を示します。 

セキュリティー • チップのクリア後、またはマザーボードの交換後に2次ユーザーをログインさせるに 
は、マスター管理者としてログインする必要があります。マスター管理者には鍵を復元するためのプ 
ロンブトが出されます。鍵の復元が完了したら 、 Policy Manager を使用して Client Security の Windows 
ログオンを無効にします。残りのユーザーはそれぞれの鍵を復元できます。すべての2次ユーザーが 
それぞれの鍵を復元したら、マスター管理者は Client Security Solution の Windows ログオン機能を有 
効にすることができます。 

次の図に、マザーボード • スワップ（ユーザー登録）の構造を示します。 


Motherboard Swap - Enroll User 


Trusted Platform Module 



User Base Private Key 
User Base Public Key 
Decrypted via derived AES Key 


User PW/PP 


VC パ I- 

^ One-Wa ； Has h ^ 


User Base AES 
Protection Key 
(derived via output 
of hash algorithm) 


図 4. マザーボード•スワップ-ユーザー登録 


24 Client Security Solution 8.21 デプロ イメント • ガイド 






































































EFS 保護ユーティリティー 

Client Security Solution は、ファイルおよびフォルターを暗号化するために Encrypting File System (EFS) が使 
用する暗号化証明書を、 TPM に基づいて保護できるようにするコマンド•ライン • ユーティリティーを 
提供します。このユーティリティーは、サード•パーティー証明書（認証局が生成する証明書）の転送 
をサポートし、さらに自己署名証明書の生成もサボートします。 

Client Security Solution による EFS 証明書の保護とは、 EFS 証明書に関連する秘密鍵が TPM によって保 
護されることを意味します。この証明書へのアクセスは、ユーザーが Client Security Solution で認証 
された後に認可されます。 

TPM が有効でない場合、 EFS 証明書は Client Security Solution が提供する TPM エミュレーターを使用 
して保護されます。 EFS 証明書が Client Security Solution によって保護されるようにするには、 Client 
Security Solution への登録が必要です。 

轉生. 

Client Security Solution と Encrypting File System ( EFS ) を使用してファイルおよびフォルダーを暗号化し 
た場合 、 Client Security Solution または TPM が使用できない場合には暗号化されたファイルにアクセ 
スできません。 

TPM が反応しなくなった場合、 Client Security Solution はマザーボードを交換した後に暗号化された 
データへ再びアクセスできるようになります。 

EFS コマンド•ライン • ユーティリティーの使用 

次の表に、 EFS でサ ポー トされるコマンド•ライン • パラメーターを 示します。 


表 9. EFS でサポートされるコマンド - ライン.パラメーター 


パラメーター 

説明 

/generate :<size> 

自己署名証明書を生成し、その証明書を EFS に関連付 
けます。 <size> を指定すると、生成される鍵は指定さ 
れたビット • サイズのものになります。有効な値は、 

512 、 1024 、および 2048 です。値を指定しない場合、 
または無効値を指定すると、デフォルトで 1024 ビッ 
卜の鍵が生成されます。 

/sn:xxxxxx 

転送して EFS と関連付ける既存の証明書のシリアル 
番号を指定します。 

/cnryyyyyy 

転送して EFS と関連付ける既存の証明書の名前 （ 『発行 
先』）を指定します。 

/firstavail 

最初に使用可能な既存の EFS 証明書を転送して EFS と 
関連付けます。 

/silent 

出力を表示しません。プログラム終了時に値によって 
提供される戻りコード。 

/? または /h または / help 

ヘルプ情報を表示します。 


ザイ レント • モードで実行されていない場合、このユーティリティーは以下のいずれかのエラーを 
戻します。 

0 - "Command completed successfully" 

1 -"This utility requires Windows XP" 

2 - "This utility requires Client Security Solution version 8.0" 

3 - "The current user is not enrolled with Client Security Solution" 

4 - "The specified certificate could not be found" 

5 - "Unable to generate a self-signed certificate” 

6 - "No EFS certificates were found" 
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7 - "Unable to associate the certificate with EFS” 

サイレント•モードで実行されている場合、プログラムの出力は、上記に示す エラー 番号に対応するエ 
ラー • レベルになります。 


XML スキーマの 使用 

XML スクリプト記述の目的は、 IT 管理者が Client Security Solution のデプロイおよび構成に使用できる力 
スタム-スクリプトを作成できるようにすることです。スクリプトは xml crypt tool 実行可能モジュー 
ルによって保護できます （ AES 暗号化などのパスワードを使用)。いったん作成されると、仮想 PC 
( vmserver . exe ) は、入力としてスクリプトを受け入れます。仮想マシンは 、 Client Security Solution セット 
アップ •ウィ ザ ー ドと同一のファンクションを呼び出して、ソフトウェアを構成します。 

すべてのスクリプトは、 XML エンコード•タイプ、 XML スキーマ、および実行する1つ以上の機能を指 
定する1つのタグより構成されています。スキーマは、 XML ファイルを検証し、必須パラメーターがそ 
ろっていることを確認するために使用されます。スキーマの使用は、現在、推奨されていません。各ファ 
ンクションは、ファンクション•タグで囲まれています。各ファンクションには ORDER が含まれてい 
ます。これは、コマンドが仮想 PC ( vmserver . exe ) によって実行される順番を指定します。各ファンク 
ションには、バージョン番号も含まれます。現在、すべてのファンクションはバージョン 1.0 です。 
以下のスクリプト例には、それぞれ1つのファンクションのみが含まれています。しかし、実際のス 
クリブトには複数のファンクションが含まれる可能性が高くなります 。 Client Security Solution セット 
アップ•ウィザードを使用すれば、このようなスクリプトを作成できます。セットアップ•ウィザー 
ドによるスクリプト作成の追加情報については、36ぺージの 『Client Security Solution セットアップ. 
ウィザード』を参照してください。 

注：ドメイン名を必要とするファンクションのいずれかに、パラメーター < DOMAIN _ NAME _ PARAMETER > 
が残されている場合は、システムのデフォルトの PC 名が使用されます。 

例 

以下のコマンドは、 XML スキーマの例です。 

ENABLE_TPM_FUNCTION 

このコマンドは、 TPM を使用可能にし、引数 SYSTEM _ PAP を使用します。システムに既に BIOS 管理者 
またはスーパーバイザー•パスワードが設定されている場合は、この引数を指定する必要があります。そ 
れ以外の場合、このコマンドはオプションです。 

く tvt deployment xmLns ="http ： //www.Lenovo.com" 

xmlns ： xsi="http ： //www.w3.org/2001/XMLSchema-instance 11 x si: schema Location: 11 
http://www.Lenovo.com cssDeploy.xsd"> 

< registry settings /> 

< /tvt_deployment > 

く FUNCTION 〉 

<ORDER>0001</ORDER> 

く C0MMAND>ENABLE_TPM_FUNCTI0N く / COMMAND 〉 

<VERSION>1.0</VERSION> 

<SYSTEM_PAP>PASSWORD</SYSTEM_PAP> 

</FUNCTI0N> 

</CSSFiLe> 

注：このコマンドは、エミュレーション • モードではサポートされていません。 

DISABLE_TPM_FUNCTION 

このコマンドは引数 SYSTEM _ PAP を使用します。システムに既に BIOS 管理者またはスーパーバイザー • 
パスワードが設定されている場合は、この引数を指定する必要があります。それ以外の場合、このコ 
マンドはオプションです。 

く tvt deployment xmLns ="http ： //www.Lenovo.com" 

xmlns ： xsi="http ： //www.w3.org/2001/XMLSchema-instance 11 x si: schema Location: 11 
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http://www.Lenovo.com cssDeploy.xsd "〉 

< registry_settings /> 

< / tvt_deployment 
く FUNCTION 〉 

く ORDER>0001 く / ORDER 〉 

く CO 關 AND>DISABLE_TPM_FUNCTION く / COMMAND 〉 

<VERSI0N>1.0</VERSI0N~> 

<SYSTEM_PAP>password</SYSTEM_PAP> 

く / FUNCTION 〉 

く / CSSFile 〉 

注：このコマンドは、エミュレーシヨン • モードではサポートされていません。 

ENABLE_PWMGR_FUNCTION 

このコマンドは、すベての Client Security Solution ユーザ^一 に対して Password Manager を使用可能にします。 

く ？ xml version="1.0" encoding="UTF-8" standalone="no"?> 

<CSSFiLe xmlns="www.Lenovo.com/security/CSS"> 

く FUNCTION 〉 

<ORDER>0001</ORDER> 

<C0MMAND>ENABLE_P1aIMGR_FUNCTI0N</C0MMAND> 

<VERSION>1.0</VE~RSION>~ 

く / FUNCTION 〉 

く / CSSFile 〉 

ENABLE_CSS_GINA_FUNCTION 

Windows 2000、 XP 、 および Vista の場合、次のコマンドで Client Security Solution ログオンが可能に 
なります。 

- <tvt_deployment xmlns ="http://www.Lenovo.com" 

xmLns ： xsi="http://www.w3.org/2001/XMLSchema-instance " xsi：schemaLocation = " 
http://www.Lenovo.com cssDeploy.xsd "〉 

< registry_settings /> 

< /tvt_deployment 
く FUNCTION 〉 

<ORDER>OOOK/ORDER> 

く C0MMAND>ENABLE_CSS_GINA_FUNCTI0N く / COMMAND 〉 

<VERSI0N>1.0</VE~RSI0~N> 

く / FUNCTION 〉 

</CSSFile> 

ENABLE—UPEK 一 GINA 一 FUNCTION 

注： 

1. このコマンドは ThinkVantage 指紋認証ソフトウエア専用です。 

2. このコマンドは、エミュレーシヨン•モードではサポートされていません。 

次のコマンドでは、 ThinkVantage 指紋認証による Windows ログオンが有効になり 、 Client Security Solution 
による Windows ログオンが無効になります。 

く tvt deployment xmlns = 11 http ： //www.Lenovo.com" 

xmlns ： xsi="http://www.w3.org/2001/XMLSchema-instance " xsi：schemaLocation = " 
http://www.Lenovo.com cssDeploy.xsd"> 

< registry_settings /> 

< /tvt_deployment > 

く FUNCTION 〉 

く ORDER>0001 く / ORDER 〉 

く C0MMAND>ENABLE_UPEK_GINA_FUNCTI0N く / COMMAND 〉 

<VERSI0N>1.0</VE~RSI0N~> 

く / FUNCTION 〉 

</CSSFile> 
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ENABLE_UPEK_GINA_WITHJ ： US_FUNCTION 

注： 

1. このコマンドは ThinkVantage 指紋認証ソフトウエア専用です。 

2. このコマンドは、エミュレーシヨン•モードではサポートされていません。 

次のコマンドでは、ユーザーの簡易切り替えがサポートされるログオンが有効になり、 Client Security 
Solution による Windows ログオンが無効になります。システム設定に従って、ユーザーの簡易切り替え 
は有効にならないことがあります。 

く tvt deployment xmLns ="http ： //www.lenovo.com" 

xmlns ： x si="http ： //www.w3.o rg / 2 001 /XMLSchema-instance 11 xsi:schemaLo cation = ■_ 
http://www.Lenovo.com cssDeploy.xsd"> 

< registry settings /> 

< /tvt_deployment 
<FUNCT~I0N> 

<ORDER>0001 く / ORDER 〉 

<C0MMAND>ENABLE_UPEK_GINA_WIH_FUS_FUNCTI0N</C0MMAND> 

く VERSION>1.0 く / VERSION 〉 

く / FUNCTION 〉 

く / CSSFile 〉 

ENABLE_AUTHENTEC_GINA 一 FUNCTION 

注： 

1. このコマンドは Lenovo Fingerprint Software 専用です。 

2. このコマンドは、エミュレーシヨン•モードではサポートされていません。 

次のコマンドでは、 Lenovo Fingerprint による Windows ログオンが有効になり、 Client Security Solution によ 
る Windows ログオンが無効になります。 

く tvt deployment xmlns ="http ： //www.lenovo.com" 

xmlns ： xsi="http ： //www.w3.org/2 001 /XMLSchema-instance " xsi：schemaLocation = " 
http://www.Lenovo.com cssDeploy.xsd"> 

< registry settings /> 

< /tvt_deployment > 

<FUNCT~I0N> 

<ORDER>0001</ORDER> 

く C0MMAND>ENABLE_AUTHENTEC_GINA_FUNCTI0N く / COMMAND 〉 

く VERSION>1.0 く / VERSION 〉 

く / FUNCTION 〉 

く / CSSFiLe 〉 

ENABLE_AUTHENTEC_GINA_WITH_FUS_FUNCTION 

注： 

1. このコマンドは Lenovo Fingerprint Software 専用です。 

2. このコマンドは、エミュレーシヨン•モードではサポートされていません。 

次のコマンドでは、ユーザーの簡易切り替えがサポートされるログオンが有効になり、 Client Security 
Solution による Windows ログオンが無効になります。システム設定に従って、ユーザーの簡易切り替え 
は有効にならないことがあります。 

く tvt deployment xmlns ="http ： //www.lenovo.com" 

xmlns ： xsi="http ： //www.w3.org/2 001 /XMLSchema-instance " x si: schema Location: 11 
http://www.Lenovo.com cssDeploy.xsd"> 

< registry settings /> 

< /tvt_deployment 
<FUNCT~I0N> 

<ORDER>0001</ORDER> 

く COMMAND>ENABLE_AUTHENTEC_GINA_WIH_FUS_FUNCTION く / COMMAND 〉 

く VERSION>1.0 く / VERSION 〉 
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く / FUNCTION 〉 

く / CSSFile 〉 

ENABLE 一 NONE 一 GINA 一 FUNCTION 

Think Vantage 指紋認証ソフトウェア 、 Client Security Solution 、 または Access Connections などの GINA 関連 
TVT コンポーネントのいずれかのログオンが使用可能な場合は、このコマンドは ThinkVantage 指紋認証ソ 
フトウェアと Client Security Solution の両方のログオンを使用不可にします。 

く tvt deployment xmlns = 11 http ： //www.Lenovo.com" 

xmLns ： xsi="http ： //www.w3.org/2001/XMLSchema-instance " xsi：schemaLocation = " 
http://www.Lenovo.com cssDeploy.xsd"> 

< registry_settings /> 

< / tvt_deployment 
く FUNCTION 〉 

く ORDER>0001 く / ORDER 〉 

く C0MMAND>ENABLE_CSS_N0NE_FUNCTI0N く / COMMAND 〉 

<VERSI0N>1.0</VE~RSI0~N> 

く / FUNCTION 〉 

</CSSFile> 

注：このコマンドは、エミュレーシヨン • モードではサポートされていません。 

SET-PP 一 FLAG 一 FUNCTION 

このコマンドは 、 Client Security パスフレーズを使用するか、 Windows パスワードを使用するかを確認する 
ために 、 Client Security Solution が読み取るフラグを書き込みます。 

く tvt deployment xmlns = 11 http ： //www.Lenovo.com 11 

xmlns ： xsi="http://www.w3.org/2001/XMLSchema-instance " xsi：schemaLocation = " 
http://www.Lenovo.com cssDeploy.xsd"> 

< registry_settings /> 

< / tvt_deployment 
く FUNCTION 〉 

<ORDER>OOOK/ORDER> 

く C0MMAND>SET_PP_FLAG_FUNCTI0N く / COMMAND 〉 

<PP_FLAG_SETflNG_PARAMETER>USE_CSS_PP</PP_FLAG_SETTING_PARAMETER> 

<VERSI0N>1.0</VERSI0N> 

く / FUNCTION 〉 

</CSSFile> 

注：このコマンドは、エミュレーシヨン • モードではサポートされていません。 

SET—ADMIN_USER_FUNCTION 

このコマン ドは、管理者を確認するために Client Security Solution が読み取るフラグを書き込みます。パラ 
メーターは 次のとおりです。 

• USER 一 NAME 一 PARAMETER 

管理者の ユーザー 名。 

• DOMAIN_NAME_PARAMETER 

管理者のドメイン名。 

く tvt deployment xmlns = 11 http ： //www.Lenovo.com" 

x mins ： xsi=" http ： //www.w3.org/2001/XMLSchema-instance " x si: schema Location:" 
http://www.Lenovo.com cssDeploy.xsd "〉 

< registry_settings /> 

< / tvt_deployment 
く FUNCTION 〉 

く ORDER>0001 く / ORDER 〉 

く C0MMAND>SET_ADMIN_USER_FUNCTI0N く / COMMAND 〉 

く USER_NAME_PARAMETER>saSedi</USER_NAME_PARAMETER> 

<D0MAIN NAME PARAMETER>IBM-2AA 92582 C79<D0MAIN NAME PARAMETER 〉 
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く VERSI0N>1.0 く / VERSION 〉 

<SYSTEM_PAP>PASSWORD</SYSTEM_PAP> 

</FUNCTION> 

</CSSFile> 

注：このコマンドは、エミュレーション•モードではサポートされていません。 

INITIALIZE_SYSTEM_FUNCTION 

このコマンドは、 Client Security Solution システム機能を初期設定します。システム全体の鍵は、この 
ファンクション呼び出しにより生成されます。次のパラメーター • リストで、各ファンクションについ 
て説明します。 

• NEW_OWNER_AUTH_DATA_PARAMETER 

このパラメーターは、システムの新規所有者パスワードを設定するために使用されます。新規所有者パ 
スワードの場合、このパラメーターの値は現行所有者パスワードにより制御されます。現行所有者パス 
ワードが設定されていない場合、このパラメーターの値が渡されて新規所有者パスワードになります。 
現行所有者パスワードが既に設定され、管理者が同じ現行の所有者パスワードを使用する場合は、こ 
のパラメーターの値が渡されます。管理者が新規所有者パスワードを使用する場合、新規所有者パ 
スワードがこのパラメーターに渡されます。 

• CURRENT_OWNER_AUTH_DATA_PARAMETER 

このパラ/ーターは、システムの現行所有者パスワードです。既にシステムに既存の所有者パスワード 
がある場合は、このパラメーターは前のパスワードを渡す必要があります。新規所有者パスワードが要 
求される場合、現行所有者パスワードがこのパラメーターに渡されます。パスワード変更が構成されて 
いない場合は、値 NO CURRENT OWNER AUTH が渡されます。 

く tvt deployment xmlns ="http ： //www.lenovo.com" 

xmlns ： xsi="http ： //www.w3.org/2001/XMLSchema-instance " xsi：schemaLocation = " 
http://www.Lenovo.com cssDeploy.xsd"> 

< registry settings /> 

< /tvt_deployment 
<FUNCflON> 

<ORDER>0001</ORDER> 

く COMMAND>INITIALIZE_SYSTEM_FUNCTION く / COMMAND 〉 
<NEW_OWNER_AUTH_DATA_PARAMETER>passlword</NEW_OWNER_AUTH_DATA_ 

PARAMETER>~ 

<CURRENT_OWNER_AUTH_DATA_PARAMETER>No_CURRENT_OWNER_AUTH</CURRENT 
_OWNER_AUTH_DATA_PARAMETER> 

<VERSION>1.0</VERSION> 

く / FUNCTION 〉 

く / CSSFile 〉 

CHANGE_TPM_OWNER_AUTH_FUNCTION 

このコマンドは、 ClientSecurity Solution 管理者権限を変更し、それに応じてシステム鍵を更新します。シス 
テム全体の鍵は、このファンクション呼び出しにより再生成されます。パラメーターは次のとおりです。 

• NEW _ OWNER _ AUTH _ DATA_PARAMETER 
TPM の新規所有者パヌワード 

• CURRENT OWNER AUTH DATA PARAMETER 
TPM の現荇所有者八。スワニド 

く tvt deployment xmlns ="http ： //www.Lenovo.com" 

xmlns ： xsi="http://www.w3.org/2001/XMLSchema-instance " xsi:schemaLocation = ■_ 
http://www.Lenovo.com cssDeploy.xsd"> 

< registry settings /> 

< /tvt_deployment 
<FUNCflON> 

<ORDER>0001 く / ORDER 〉 

<C0MMAND>CHANGE TPM OWNER AUTH FUNCTION く / COMMAND 〉 
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く NEW OWNER AUTH DATA PARAMETER>newPassWord</NEW OWNER AUTH DATA 
PARAMETER 〉 一 一 一一 一 

<CURRENT_OWNER_AUTH_DATA_PARAMETER>oldPassWord</CURRENT_OWNER_AUTH 
_DATA_PARAMETER> 

<VERSI0N>1.0</VERSI0N> 

く / FUNCTION 〉 

く / CSSFile 〉 

注：このコマンドは、エミュレーシヨン • モードではサポートされていません。 

ENROLL_USER_FUNCTION 

このコマンドは、 Client Security Solution を使用する特定のユーザーを登録します。このフアンクシヨン 
は、ユーザー固有のセキュリティー•キーのすべてを所定のユーザーに作成します。パラメーターは次 
のとおりです。 

• USER 一 NAME 一 PARAMETER 
登録 f るユーザーのユーザー 名 

• DOMAIN 一 NAME 一 PARAMETER 
登録する ユーザーの ドメイン名 

• USER 一 AUTH 一 DATA 一 PARAMETER 

ユーザーの セキュリティ ー • キーを作成するための TPM パスフレーズまたは Windows パスワード 

• WIN—PW 一 PARAMETER 

Windows パスワード 

く tvt deployment xmlns = 11 http ： //www.Lenovo.com" 

xmlns ： xsi= 11 http ： //www.w3.org/2001/XMLSchema-instance " xsi：schemaLocation = " 
http://www.Lenovo.com cssDeploy.xsd "〉 

< registry_settings /> 

< / tvt_deployment 
く FUNCTION 〉 

く ORDER>0001 く / ORDER 〉 

く C0MMAND>ENR0LL_USER_FUNCTI0N く / COMMAND 〉 

<USER_NAME_PARA~METER>sabedi</USER_NAME_PARAMETER> 

<D0MAIN_NAME_PARAMETER>IBI V 1-2AA 92582 C79<D0MAIN_NAME_PARAMETER> 

く USER_AUTH_DSTA_PARAMETER>myCssUserPassPhrase く / USE^_AUTH_D/\TA_PARAMETER> 

<WIN_PW_PARAMETER>myWindowsPassword</WIN_PW_PARAMETER> 

<VERSI0N>1.0</VERSI0N> 

く / FUNCTION 〉 

く / CSSFile 〉 

USER_PW_RECOVERY_FUNCTION 

このコマンドは、特定 ユーザーの パスワード•リカバリーをセットアップします。パラメーターは次 
のとおりです。 

• USER_NAME_PARAMETER 

登録 f るユーザーのユーザー名 

• DOMAIN_NAME_PARAMETER 

登録するユーザーのドメイン名 

• USER PW_REC QUESTION COUNT 

ユーザーが応答しなければならない質問の数 

• USER PW REC ANSWER DATA PARAMETER 

特定の質問に対する、保存されている応答。このパラメーターの実名には、応答される質問に対応す 
る番号が連結しています。 

• USER_PW_REC_STORED_PASSWORD_PARAMETER 

質問のすべてが正確に応答されると、ユーザーに示される保存されたパスワード。 
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<tvt_deployment xmlns ="http ： //www.Lenovo.com" 

xmlns ： xsi="http ： //www.w3.org/2001/XMLSchema-instance " xsi：schemaLocation = " 
http://www.Lenovo.com cssDeploy.xsd"> 

< registry settings /> 

< /tvt_deployment 
く FUNcflON 〉 

<ORDER>0001</ORDER> 

く COMMAND>USER_PW_RECOVERY_FUNCTION く / COMMAND 〉 

<USER_NAME_PARAMETER>sabedi</USER_NAME_PARAMETER> 

<D0MAIN_NAME_PARAMETER>IBI V 1-2AA 92582 C79<D0MAIN_NAME_PARAMETER> 

<USER_PW_REC~ANSlAlER_DATA_PARAMETER>Testl</USER_PW_REC_ANSWER_DATA_PARA 

METER 〉 

<USER_PW_REC_ANSWER_DATA_PARAMETER>Test2</USER_PW_REC_ANSWER_DATA_PARA 

METER 〉 

<USER_PW_REC_ANSWER_DATA_PARAMETER>Test3</USER_PW_REC_ANSWER_DATA_PARA 

METER 〉 

<USER_PW_REC_QUESTI0N_C0UNT>3</USER_PW_REC_QUESTI0N_C0UNT> 

<USER~PW_REC~QUESTION_LIST>20000,20001,20002~</USER_PW_REC_QUESTION_LIST> 

</USER_PW_REC_STORED_PASSWORD_PARAMETER>Passlword</USER_PW_REC_STORED_PASS 

WORD_PARAMETER> 

<VERSION>1.0</VERSION> 

く / FUNCTION 〉 

く / CSSFiLe 〉 

GENERATE 一 MULTI 一 FACTOR 一 DEV に E 一 FUNCTION 

この コマンドは、 認証に使用される Client Security Solution の多層デバイスを生成します。パラメ ー 
ターは 次のとおりです。 

• USER _ NAME _ PARAMETER - 管理者のユーザー名。 

• DOMAINNAMEPARAMETER -管理者のドメイン名。 

• MULTIFACTORDEVICEUSERAUTH -ユーザーのセキュリティー.キーを作成するための Client 
Security パスフレ""ーズまたは Windows パスワード。 

く？ xml version="1.0" encoding="UTF-8" standalone="no" ?> 

<CSSFile=xmlns=" www.ibm.com/security/CSS"> 

く FUNCTION 〉 

<ORDER>0001</ORDER> 

く C0MMAND>GENERATE_MULTI_FACT0R_DEVICE_FUNCTI0N く / COMMAND 〉 

<USER_NAME_PARAMETER>myUserName</USE~R_NAME_PARAMETER> 

<DOMAiN_NAME_PARAMETER>domainName</DOMAIN_NAME_PARAMETER> 

<MULTI_FACTOR~DEVICE_USER_AUTH>myCssUserPassPhrase</MULTI_FACTOR_DEVICE_USER_AUTH> 

<VERSI0N>1.0</VERSI0N> 

く / FUNCTION 〉 

</CSSFile> 

SETUP 一 PDA 一 FUNCTION 

このコマンドは、 Client Security Solution と使用するために Rescue and Recovery ワークスペースをセット 
アップします。 

く？ xml version="1.0" encoding="UTF-8" standalone="no" ?> 

<CSSFile=xmlns=" www.ibm.com/security/CSS"> 

く FUNCTION 〉 

<ORDER>0001 く / ORDER 〉 

<C0MMAND>SETUP_PDA_FUNCTI0N</C0MMAND> 

<VERSION>1.0</VERSION> 

く / FUNCTION 〉 

く / CSSFile 〉 
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SET 一 USER_AUTH_FUNCTION 

このコマン ドは、 Client Security Solution の ユーザ^一 認証を設定します。 

<?xml version="1.0" encoding="UTF-8 11 standaLone="no" ?> 

<CSSFiLe=xmlns= 11 www.ibm.com/security/CSS"> 

く FUNCTION 〉 

<ORDER>0001</ORDER> 

く COMMAND>SET_USER_AUTH_FUNCTION く / COMMAND 〉 

<version>i.o<7version> ~ 

く / FUNCTION 〉 

く / CSSHLe 〉 

RSA SecurlD トークンの使用 

データ暗号化の暗号化アルゴリズム方式を利用すると、 Client Security Solution に加えて RSA SecurlD 卜一 
クンを使用することにより、お客様の企業に多層セキュリティーが提供されます。 RSA SecurlD トーク 
ンを使用して、ユーザーはユーザー ID または PIN 、 およびトークン•デバイスを使用してネットワー 
クやソフトウェアで認証され、ログインすることができます。トークン•デバイスは、60秒ごとに変 
わる数字のストリングを表示します。この認証方式では、再使用可能なパスワードと比較して格段に 
信頼性の高いユーザー認証が可能になります。 

RSA SecurlD ソフトウェア • トークンのインストール 

RSA SecurlD ソフトウェアをインストールするには、次のステップを実行します。 

1. 次の Web サイトに移動します。 

http : //www.rsasecunty. com/node. asp?id= 1156 

2. 登録プロセスを完了します。 

3. RSA SecurlD ソフトウェアをダウンロー ドおよびインストールします。 

要件 

1. RSA ソフトウェアが Client Security Solution と関連付けられた後に正しく動作するには、各 Windows 
ユーザーが client Security Solution に登録する必要があります。 

2. Windows ユーザーが Client Security Solution に登録していないと、その ユーザーを 認証しようとし 
て、 RSA ソフ トウェアは エンドレス • ループに陥ります。 ユーザーを Client Security Solution に 
登録するとこの問題は解決します。 

スマート•カード ■ アクセス • オプションの設定 

スマート • カード • アクセス • オプションを設定するには、次のステップを実行します。 

1. RSA SecurlD メイン メニューから 、 『Tools (ツール)』、 『Smart Card Access Options (スマート .カー 
ド•アクセス • オプション)』 の順にクリックします。 

2. 『Smart Card Communication (スマ ート •力 ー ド通信 ) 』パネルから、『 Access the Smart Card through a 
PKCS #11 module (PKCS #11 モジュールを使用してスマート•カードに アクセス)』 のラジオ•ボ 

タンを選択します。 

3. 『 Browse (参照)』ボタンをクリックして、次のパスまでナビゲートします。 

C：¥Program Files¥LENOVO¥CLient Security SolutionYcsspkcsll.dll 

4. csspkcsll . dll ファイルをクリックし 、 『Select ( 選択)』 をクリックします。 

5. 『 OK 』 をクリックします。 

RSA SecurlD ソフトウェア_ I -ークンの手動インス!-ール 

RSA SecurlD ソフトウェア • トークンによる Client Security Solution 保護を利用するには、次のステップ 
を実行します。 
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1. RSA SecurlD ソフトウェア • トークンのメインメニューから 、 『File ( ファイル)』、 『Import Tokens 
(卜ークンのインポート)』 の順にクリックします。 

2. SDTID ファイルの場所までナビゲートし、 『 Open (開く）』をクリックします。 

3. 『Select Token ⑻ to Install (インストール するトークンの 選択)』パネルから、インストールしたいソフ 
トウェア • トークンのシリアル番号を強調表示します。 

4. 『Transfer Selected Tokens Smart Card ( 選択した卜ークンのスマート•力ードを 転送)』をクリッ 

クします。 

注： トークンに配布パスワードがある場合、プロンプトが出されたらそのパスワードを入力します。 

5. 『0 K 』 をクリックします。 

Active Directory のサポート 

次のパスは Client Security Solution の PKCS #11モジュールがあるデイレクトリ ー • パスを示します。 

C：¥Program FiLes¥Lenovo¥CLient Security SolutionYcsspkcsll.dll 

Client Security Solution の PKCS #11 モジュールを利用するには、 Active Directory に以下のポリシーを 
設定する必要があります。 

1. PKCS #11署名 

2. PKCS #11暗号化解除 

次の表に、 PKCS # 11のポリシーの変更可能フィールドと説明を示します。 


表 10. ThinkVantage¥Client Security 5olution¥Authentication Policies¥PKC5# 1 / 5ignature¥Custom Mode 


フィールド 

CSS.ADM 

変更可能フィールド 

必須 

フィールドの説明 

パスワードまたはパスフレーズが必要であるかどうか 
を制御します。 

可能な値 

• Enabled ( 有効） 

- Every time ( 毎回） 

- Once per logon ( ログオンごと） 

• Disabled ( 無効） 

• Not configured ( 構成しない） 


指紋センサー認証の設定とポリシー 


強制的な指紋バイパス • オプション 

指紋バイパス•オプションを使用す ると、 ユーザーは、指紋認証をバイパス でき、 Windows パスワードを 
使用してログオンで きます。 ユーザーは、新しい登録を追加 するときに、 Password Manager のユーザー • 
インターフェースでこのオプションを選択 または 選択解除で きます。 

ただし、デフォルトでは、この オプションが選択され ていない 場合で も、 指紋バイパスは有効になり ま 
す。これは、 指紋センサーが機能し なくても、 ユーザーが Windows にログオン できるようにするた めで 
す。 強制的な指紋バイパス•オプションを無効に するには、 次のレジス トリー •キーを編集し ます。 
[HKEY_LOCAL_MACHINE¥SOFTWARE¥Lenovo¥Client Security Solution¥CSS Configuration] 

11 GinaDenyLogonDeviceNonEnroUed "=dword： 00000001 

レジストリー • キーが上記のように設定されると、ユーザーは、指紋センサーが機能しないときに 
も指紋認証をバイパスできません。 
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指紋の読み取り結果 

指紋認証中は、下記のポリシーによって、指紋の読み取り結果の表示が制御されます。 

HKLM¥Lenovo¥TVT CommonYClient Security SolutionYFPSiAiipeResult 

• FPSwipeResult =0: すべてのメッセージを表示します。 

• FPSwipeResult = l : 失敗のメッセージのみを表示します（デフォルト値)。 

• FPSwipeResult =2: メッセージを表示しません。 


コマンド■ライン_ ツール 

企業の IT 管理者はコマンドライン • インターフェースを使用して、ローカルまたはリモートから 
ThinkVantage テクノロジーの機能を実装することもできます。設定情報は、リモートのテキスト • 
ファイル設定を介して保守することができます。 


Client Security Solution には次のコマンド • ライン•ツールがあります。 

• 35ページの 『 Security Advisor 』 

• 36ぺージの 『 Client Security Solution セツトアップ • ウイザード』 


• 37ページの 

• 37ページの 

• 38ページの 

• 38ページの 

• 39ページの 


『デプロイメント • ファイルの暗号化または暗号化解除ツール』 
『デプロイメント • ファイル処理ツール』 

『 TPMENABLE . EXE 』 

『証明書転送ツール』 

『 TPM 有効化ツール』 


Security Advisor 

Client Security Solution から Security Advisor を実行するには、 『スタート』 - ♦ 『プログラム』->『すべて 
のプログラム』 ->■ 『 ThinkVantage』『Client Security Solution 』 とクリックします。 『拡張』 をクリック 
して、 『セキュリティー設定の監査』 を選択します。これにより、 C：¥Program Files ¥ Lenouo¥Common 
Files ¥ WST ¥ wst . exe がデフオルトでインストールされます。 


パラメーターは次のとおりです。 

表 ”.パラメーター 


パラメーター 

説明 

HardwarePasswords 

ハードウエア • パスワードの値を設定します。 1 はこ 
のセクションを表示し、 0 は隠します。デフォルト値 
は 1 です。 

PowerOnPassword 

パワーオン • パスワードを使用可能にする値か、設定 
にフラグを立てる値を設定します。 

HardDrivePassword 

ハードディスクのパスワードを使用可能にする値か、設 
定にフラグを立てる値を設定します。 

AdmimstratorPassword 

管理者パスワードを使用可能にする値か、設定にフラグ 
を立てる値を設定します。 

W indowsU sersPas swords 

Windows ユーザー . パスワードの値を設定します。 1 
はこのセクションを表示し、 0 は隠します。このパラ 
メーターが 表示されていない場合は、デフォルトで表示 
されます。 

Password 

ユーザー • パスワードを使用可能にする値か、設定にフ 
ラグを立てる値を設定します。 
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表 ”. パラメーター ( 続き ) 


パラメーター 

説明 

PasswordAge 

このマシン上での、 Windows パスワードの使用日数の値 
を設定するか、設定にフラグを立てる値を設定します。 

PasswordNeverExpires 

Windows のパスワードが期限切れにならない値を設定す 
るか、設定にフラグを立てる値を設定します。 

W indowsPasswordPolicy 

Windows パスワード • ポリシーの値を設定します。 1 
はこのセクションを表示し、 0 は隠します。このパラ 
メーターが表示されていない場合は、デフォルトで表示 
されます。 

MinimumPasswordLength 

このマシン上でのパスワードの長さの値を設定するか、 
設定にフラグを立てる値を設定します。 

MaximumPasswordAge 

このマシン上でのパスワードの使用日数の値を設定する 
か、設定にフラグを立てる値を設定します。 

ScreenSaver 

スクリーン•セーバーの値を設定します。 1 はこのセク 
ションを表示し、 0 は隠します。このパラメーターが表 
示されていない場合は、デフォルトで表示されます。 

ScreenSaverPasswordSet 

スクリーン • セーバーにパスワードを要求する値を設定 
するか、設定にフラグを立てる値を設定します。 

ScreenSaverT imeout 

このマシン上でのスクリーン • セーバーのタイムア 
ウトの値を設定するか、設定にフラグを立てる値を設 
定します。 

FileSharing 

ファイル共有の値を設定します。 1 はこのセクションを 
表ポし、 0 は隠します。このパラメーターが表ボされて 
いない場合は、デフォルトで表示されます。 

AuthorizedAccessOnly 

ファイル共有のための許可されたアクセスを設定する値 
を設定するか、設定にフラグを立てる値を設定します。 

ClientSecurity 

Client Security の値を設定します。 1 はこのセクションを 
表示し、 0 は隠します。このパラメーターが表示されて 
いない場合は、デフォルトで表示されます。 

EmbeddedSecurityChip 

セキュリティー • チップを使用可能にする値を設定する 
か、設定にフラグを立てる値を設定します。 

ClientSecuritySolution 

このマシン上で使用する Client Security Solution のバー 
ジョンの値を設定するか、設定にフラグを立てる値を設 
定します。 


Client Security Solution セットアップ.ウイザード 

Client Security Solution セットアップ•ウイザードは、 XML フアイルを介してデプロイメント•スクリプト 
を生成する際に使用します。次のコマンドを実行すると、ウイザードのさまざまな機能が表示されます。 

■_C:¥Program Files¥Lenovo¥CLient Security SolutionYcss wizard.exe" /? 

次の表に 、 Client Security Solution セツトアップ • ウイザードのコマンドを示します。 


表 12. Client Security Solution セットアップ - ウイ ザードのコマンド 


パラメーター 

結果 

/h または/? 

ヘルプ • メッセージ • ボックスを表示します 

/name:FILENAME 

生成されたデプロイメント • ファイルの完全修飾パス 
およびファイル名の前に付けます。このファイルには 
拡張子 .xml が付きます。 
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表 12. Client Security Solution セットアップ-ウイザードのコマンド（続き) 


パラメーター 

結果 

/encrypt 

AES 暗号化を使用してスクリプト • ファイルを暗号化し 
ます。暗号化される場合、そのファイル名には . enc が付 
加されます。 /pass コマンドを使用しない場合は、静的パ 
スフレーズを使用して、ファイルを隠します。 

/pass: 

暗号化されたデプロイメント • ファイルを保護するため 
に、パスフレーズの前に付けます。 

/novalidate 

ウイザードのパスワードとパスフレーズのチ エツ ク機能 
を使用不可にして、すでに構成済みの PC. 上でスクリプ 
卜 • ファイルを作成できるようにします。たとえば、 

現行 PC. の管理者パスワードは、社内で要求される管 
理者パスワードではないことがあります。 /novalidate コ 
マンドを使用するとユーザーは xml ファイル作成中に 
css wizard GUI に別の管理者パスワードを入力できます。 


例： 

css wizard.exe /encrypt /pass：my secret /name ： C：¥DeployScript /novahdate 

デプロイメント • ファイルの暗号化または暗号化解除ツール 

このツールは ClientSecurityXML デプロイメント • ファイルの暗号化または暗号化解除に使用します。次 
のコマンドを実行すると、ツールのさまざまな機能が表示されます。 

"C：¥Program FiLes¥Lenovo¥Client Security SolutionYxmL crypt tool.exe" /? 

パラメーターを次の表に示します。 


表 13. Client Security XML デプロイメント-ファイルを暗号化または暗号化解除するためのパラメーター 


パラメーター 

結果 

/h または /? 

ヘルプ•メ ッ セージを表示します 

FILENAME 

.xml または . enc の拡張子を持つパス名およびファイル名 
を表示します。 

encrypt /こは decrypt 

•xml ファイルには /encrypt 、 .enc フアイルには /decrypt 
を選択します。 

PASSPHRASE 

ファイルを保護するためにパスフレーズを使用する場合 
に必要なオプション • パラメーターを表示します。 


例： 

xml crypt tool.exe "C^DeployScript.xml" /encrypt "my secret" 

お i び ~ 

xml_crypt_tool.exe n C ： ¥DeployScript.xmLenc" /decrypt "my secret" 

デプロイメント • ファイル処理ツール 

ツール vmserver . exe は Client Security Solution XML デプロイメント • スクリプトを処理します。次のコマン 
ドを実行すると、ウイザードのさまざまな機能が表示されます。 

"C：¥Program FiLesYLenovoYClient Security SolutionYvmserver.exe" /? 

次の表に、ファイルを処理するためのパラメーターを示します。 
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表 14. ファイル処理のパラメーター 


バラメーター 

結果 

FILENAME 

FILENAME パラメーターにはファイル拡張子 XML ま 
たは ENC がなければなりません。 

PASSPHRASE 

PASSPHRASE パラメーターは、拡張子 ENC . を持つファ 
イルの暗号化解除に使用します。 


例： 

Vmserver.exe C ： ¥DeployScript.xml.enc"my secret" 

TPMENABLE.EXE 

tpmenable.exe フアイルはセキユリテイー • チップをオンにしたりオフにするために使用します。 
表 15. tpmenable.exe フ了イ ノレのノ\°ラメーター 


パラメーター 

説明 

/enable ま/こは /disable 

セキュリティー • チップをオンにしたりオフにした 
りします。 

/quiet 

BIOS パスワードまたはエラーのプロンプトを隠します。 

sp password 

Windows 2000および XP の場合に限っては、 BIOS 管理者 
/スーパーバイザー.パスワードは引用符で囲みません。 


例： 

tpmenable.exe /enable /quiet / sp：My BiosPIaI 

証明書転送ツール 

次の表に、 Client Security Solution の証明書転送ツールのコマンド • ライン • スイッチを示します。 


表 lb. css cert transfer tool.exe く cert store type〉<filter tvpe>:<name / size> i all access / usage 


パラメーター 

説明 

<cert store type 〉 

これは最初の必須パラメーターです。最初のスイツチとして使用し、 
次の例のいずれか1つを組み込む必要があります。 

例： 

certstoreuser 

ユーザー証明書のみを転送します。ユーザー証明書は、現 
在のユーザーに割り当てられます。 

cert store macnine 

マシン証明書のみを転送します。マシン証明書は、マシン 
上で許可されたすベてのユーザーが使用できます。 

cert store all 

ユーザー証明書タイプとマシン証明書タイプの両方を 
転送します。 

〈filter type>:<name | size > 

これは2番目の必須パラメーターです。必須の <cert store type > パラ 
メーターの後に使用する必要があります。各フィルター • タイプ(下記 
を除く）の後にはコロン『:』が必要で、コロンの直後には、検索対象 
の証明書所有者の名前、権限、または鍵サイズを指定する必要があり 
ます。このユーティリティーは犬/小文字の区別があり、検索対象の名 
前が複合名（たとえば、 C.A Authority など）である場合は、検索条件の 
前後に二重引用符“’’を使用する必要があります（例を参照)。 
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表 16. css _ cert _ transfer _ tool.exe < cert _ store _ type > < filter _ type>:<name / s / ze > / all_access / usage (続き) 


パラメーター 説明 


例： 

subject simple name :< name > 

証明書の発行先の名前と一致するすべての証明書を転送し 
ます。所有者の名前は < name > に指定します。 


subject_friendlv name :< name > 

証明書の発行先のフレンドリー名と一致するすべての 
証明書を転送します。フレンドリー名は < name > に指定 
します。 


issuer simple name :< name > 

証明書を発行した証明機関の名前と一致するすべての 
証明書を転送します。証明機関の名前は < name > に指定 
します。 


ssuer mendly name :< name > 

証明書を発行した証明機関のフレンドリー名と一致するす 
ベての証明書を転送します。証明機関のフレンドリー名 
は < name > に指定します。 


key size :< size > 

鍵サイズ < size > (ビット単位）で暗号化されたすベての証明 
書を転送します。これは完全一致突き合わせ基準である 
ことに注意してください。プログラムは、そのサイズ以 
上またはそのサイズ以下の鍵サイズで暗号化された証明 
書を検索しません。 


次の2 つの スイツチはスタンドアロンです。これらには2番目の引数はありません。 


al し access すべての証明書を転送します。フイルターに掛けないでください。 


usage コマンド • ラインに関する情報は提供しませんが、正しい使用法を判別するために使用される関数 

によって、受け渡されたコマンドが正しいかどうかに応じて、 true または false が返されます。 


TPM 有効化 ツール 

tpm _ activate _ cmd . exe フアイルは、 Lenovo システム上で TPM を有効化または無効化するために使用 
されます。 

注：このコマンドを実行するためには、管理者権限が必要です。 


表 17. Lenovo システムで TPM を有効化または無効化するためのパラメーター 


パラメーター 

説明 

/ help または/? 

パラメーターのリストを表示します。 

/ biospw:password 

BIOS スーパーバイザーまたは管理者のパスワードが設 
定されている場合は、それを指定します。 

/deactivate 

TPM を無効化します。 

注： パラメーター /deactivate を指定して 

tpm activate cmd . exe を実行すると、デフオルトで TPM 

が有効化されます。 

/verbose 

テキスト出力を表示します。 


例： 

tpm activate cmd.exe /? 

tpm activate cmd.exe /verbose 

tpm_activate_cmd.exe /biospw:pass 
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Active Directory のサボート 

Active Directory はディレクトリー • サービスです。ディレクトリーは、ユーザーおよびリソースに関 
する情報が保存されている場所です。ディレクトリー • サービスによりアクセスが許可されるため、 
これらのリソースを操作することができます。 

ActiveDirectoiy が提供する機構により、管理者は PC 、 グループ、ユーザー、ドメイン、セキュリティー- 
ポリシー、およびすベてのタイプのユーザー定義オブジェクトを管理する機能を得られます 。 Active 
Directory がこの機能を付与するために使用するメカニズムのことを、グループポリシーといいます。管理 
者は、グループポリシーを使用して、 PC やユーザーに適用できる設定をドメインの中に定義します。 

現在 Think Vantage Technology 製品が使用している、プログラム設定の制御に使用する設定値を収集する方 
式には、特定のアプリケーション定義レジストリー項目からの読み取りなど、さまざまな方式があります。 

以下に 、 Active Directory が管理できる Client Security Solution の設定の例を示します。 

• セキュリティー•ポリシー 

• カスタム•セキュリティ ー•ポリシー （ Windows パスワードまたは Client Security Solution パスフ 
レーズを使用するかどうか、など） 

管理用 ( ADM ) テンプレート ■ ファイル 

ADM (管理用）テンプレート • ファイルは、クライアント PC 上のアプリケーションで使用されるポリシー 
設定を定義します。ポリシーとは、アプリケーションの動作を管理する特定の設定のことです。ポリシー 
設定は、ユーザーがアプリケーションを使用して特定の設定値を設定できるかどうかも定義します。 

サーバー上の管理者が定義する設定は、ポリシーとして定義されます。クライアント PC 上のユーザーが 
定義する、アプリケーションに関する設定は、プリファレンスとして定義されます。 Microsoft 社による定 
義のとおりに、ポリシー設定はプリファレンスより優先します。 

例えば、ユーザーは自分のデスクトップ上に背景イメージを表示することができます。これは、ユーザー 
のプリファレンス設定です。管理者は、ユーザーが特定の背景イメージを使用しなければならないこと 
を決定する設定をサーバー上で定義できます。管理者のポリシー設定は、ユーザーによるプリファレ 
ンス設定をオーバーライドします。 

Think Vantage Technology 製品が設定を確認する際に、次の順序で設定を検索します。 

• コンピューター•ポリシー 
• ユーザー.ポリシー 
• デフォルトのユーザー•ポリシー 
• PC プリファレンス 
• ユーザー•プリファレンス 
• デフォルトのユーザー•プリファレンス 

前述のように、コンピューター•ポリシーとユーザー•ポリシーは、管理者によって定義されます 。 XML 
構成ファイルか Active Directory のグループ • ポリシーを使用してこれらの設定値を初期化できます 。 PC 
プリファレンスとユーザー•プリファレンスは、クライアント PC 上のユーザーによって、アプリケー 
ション • インターフェース内のオプションを使用して設定されます。デフォルトのユーザー • プリファレ 
ンスは、 XML 構成スクリプトによって初期化されます。ユーザーは値を直接には変更しません。ユー 
ザーがこれらの設定値に変更を加えるには、ユーザー • プリファレンスを更新します。 
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Active Directory を使用していないお客様は、クライアント • システムにデプロイされるポリシー設定のデ 
フォルト•セットを作成することができます。管理者は、 XML 構成スクリプトを変更して、製品のイン 
ストール時にそれらが処理されるように指定することができます。 

管理可能設定の定義 

この例では、次の階層を使用して、グループポリシーエディター内に設定を表示します。 

Computer Configuration>Administrative Templates>ThinkVantage Technologies 〉 

Client Security Solution>Authentication PoLicies>Max Retn.es> 

Password number of retries 


ADM ファイルは、レジストリー内の、設定が反映される場所を示します。これらの設定は、レジ 
ストリー内の次の場所になければなりません。 

Computer policies ： 

HKLM¥Software¥Policies¥Lenovo¥CLient Security Solution^ 

User policies ： 

HKCU¥Software¥Policies¥Lenovo¥Client Security SolutionY 
Default user policies ： 

HKLM¥Software¥Policies¥Lenovo¥Client Security SolutionYUser defaults 
Computer preferences ： 

HKLM¥Software¥Lenovo¥CLient Security SoLutionY 
User preferences ： 

HKCU¥Software¥Lenovo¥Client Security Solution^ 

Default user preferences ： 

HKLM¥Software¥Lenovo¥CLient Security SolutionYUser defaults 

グ ループ ■ポリ シーの 設定 

このセクシヨンの表には、 Client Security Solution の PC 構成およびユーザー構成のポリシー設定が記載 
されています。 

再試行の最大回数 

次の表に、『認証ポリシー』の『再試行の最大回数』のポリシー設定を示します。 


表 18. コンピュ ータの 嫌 成 — ThinkVantage Client Security Solution -*• 認証ポ リシ — *■ 再試行の最大回数 


ポリシー 

有効な設定 

説明 

Password number of 

retries 

再試行の最大回数 
は20です。 

ユーザーがポリシーをオーバーライドする前に Windows パスワード 
を使用して認証を試行できる最大回数を制御します。 

Passphrase number of 
retries 

再試行の最大回数 
は20です。 

ユーザーが ポリ シーをオーバー ライドする前に Client Security パス 
フレーズを使用して認証を試行できる最大回数を制御します。 

Fingerprint number of 
retries 

再試行の最大回数 
は20です。 

ユーザーがポリシーをオーバーライドする前に指紋を使用して認証 
を試行できる最大回数を制御します。 


より安全 

次の表に、『認証ポリシー』の『より安全』のポリシー設定を示します。 


表 79. コンピュータの構成-* ■ 管理用テンプレート-* ■ ThinkVantage -*• Client Security Solution -*■ 認証ポリシ — *• 
保護モード 


ポリ シー 

有効な設定 

説明 

パスワード 

頻度を 『Every time (毎回)』または 『 Once per logon 
(ログオンの度に1回)』に設定します。 

パスワードが必要であるかどうかを 
制御します。 

Passphrase 

頻度を 『Every time (毎回)』または 『 Once per logon 
(ログオンの度に1回)』に設定します。 

パス フレーズが 必要であるかどうかを 
制御します。 
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表 19. コンピュータの清成 — 管理用テンプレート — ThinkVantage Client Security Solution 認証ポリシ — ► 

保護モード ( 続き ) 


ポリシー 

有効な設定 

説明 

指紋 

頻度を 『Every time (毎回)』または 『 Once per logon 
(ログオンの度に 1回)』に設定します。 

指紋が必要であるかどうかを制御し 
ます。 

無効にする 

パスワード、パスフレーズ、または指紋をオー 
バーライドするように設定します。 

通常の認証が失敗した場合の『フォー 
ルバック』認証の要件を定義します。 


デフオルト • モード 

次の表に、『認証ポリシー』の『デフォルト•モード』のポリシー設定を示します。 


表 20. コンピュータの嫌成 —* 管理用テンプレート — ThinkVantage _ Client Security Solution ^ 認証ポリ シー 
— 丁フオノレト•モード 


ポリシー 

有効な設定 

説明 

パスワード 

頻度を 『Every time (毎回)』または 『Once per logon 
(ログオンの 度に 1回)』に設定できます。 

パスワードが必要であるかどうかを制 
御します。 

Passphrase 

頻度を 『Every time (毎回)』または 『Once per logon 
(ログオンの 度に 1回)』に設定できます。 

パスフレーズが必要であるかどうかを 
制御します。 

指紋 

頻度を 『Every time (毎回)』または 『Once per logon 
(ログオンの 度に 1回)』に設定できます。 

指紋が必要であるかどうかを制御しま 
す。 

無効にする 

パスワード、パスフレーズ、または指紋をオー 
バーライドするように設定します。 

通常の認証が失敗した場合の『フォー 
ルバック』認証の要件を定義します。 


認証ポリシー 

次のポリシーのリストには、各ポリシーの認証レベルを定義する有効な設定が記載されています。 

• Windows logon (Windows への ログオン） 

• System unlock (PC の ロ ツク解除） 

• Password manager (Password Manager 化 く） 

• CSP signature (CSP シグニチヤー） 

• CSP decryption (CSP 暗号化解除） 

• PKCS #11 signature ( PKCS #11 シグニチヤー） 

• PKCS #11 decryption ( PKCS #11 暗号化解除） 

• PKCS #11 logon ( PKCS #11 ロ グオン） 

次の表に、上記の認証レベルに対する値および設定を示します。 

表 21. コン ピュータの棟成 —*管理用テンプレート— ThinkVantage — Client Security Solution 認証ポリ シー 


ポリシー 

有効な設定 

説明 

パスワード 

頻度を 『Every time (毎回)』または 『Once per logon 
(ログオンの 度に1回)』に設定します。 

パスワードが必要であるかどうかを 
制御します。 

Passphrase 

頻度を 『Every time (毎回)』または 『Once per logon 

(ログオンの 度に1回)』に設定します。 

パスフレーズが必要であるかどうかを 
制御します。 

指紋 

頻度を 『Every time (毎回)』または 『Once per logon 
(ログオンの 度に1回)』に設定します。 

指紋が必要であるかどうかを制御し 
ます。 

無効にする 

パスワード、パスフレーズ、または指紋をオー 
バーライドするように設定します。 

通常の認証が失敗した場合の『フォー 
ルバック』認証の要件を定義します。 
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Password Manager 

次の表に 、 Password Manager のポリシー設定を示します 0 


表 22. コンピュ ータの構成 — ThinkVantage — Client Security Solution — Password Manager 


ポリシー設定 

説明 

Disable Password manager 

システム始動時に Password Manager が開始するかどうかを制御します。 

Disable Internet Explorer support 

Password Manager が Internet Explorer からパスワードを保存できるかど 
うかを制御します。 

Disable Mozilla support 

Password Manager が Mozilla ベース • ブラウザー (Firefox および Netscape 
など）からパスワードを保存できるかどうかを制御します。 

Disable support for Windows applications 

Password Manager が Windows アプリケーシヨンからパスワードを保存で 
きるかどうかを制御します。 

Disable Auto-fill 

Password Manager が Web サイトおよび Windows アプリケーシヨンへの 
データの Auto-fill を行うかどうかを制御します。 

Disable Hotkey support 

Password Manager が Web サイトおよび Windows アプリケーシヨンに 
データを入力するためのホット • キーの使用をサポートするかどうか 
を制御します。 

Use Domain filtering 

Password Manager がドメインに基づいて Web サイトをフイルタリングす 
るかどうかを制御します。 

Prohioited Domains 

Password Manager がパスワードの保存を禁止されているドメインを制 
御します。 

Prohibited URLs 

Password Manager がパスワードの保存を禁止されている URL を制御し 
ます。 

Prohibited Modules 

Password Manager がパスワードの保存を禁止されている Windows アプリ 
ケーシヨンを制御します。 

Auto-fill Hotkey 

Auto-fill Hotkey の Ctrl + F2 を制御します。 

Type and Transfer Hotkey 

Type and Transfer Hotkey の Ctrl + Shift + H を制御します。 

Manage Hotkey 

ホット.キーの Ctrl + Shift+ B を制御します。 


User Interface 

次の表に、『ユーザー•インターフェース』のポリシー設定を示します。 

表 23. コンピュータの構成 — ThinkVantage Client Security Solution — ユー ザー •インターフェース 


ポリシー設定 

説明 

Fingerprint software option 

Client Security Solution の指紋認証ソフトウエアのオプションを表示する 
か、ぼかすか、非表示にします。デフォルト：表示。 

File encryption option 

Client Security Solution のファイル暗号化オプションを表示するか、ぼかす 
か、非表示にします。デフォルト：表示。 

Security settings audit option 

Client Security Solution のセキユリティー設定の監査オプションを表示する 
か、ぼかすか、非表示にします。デフォルト：表示。 

Digital certificate transfer option 

Client Security Solution のディジタル証明書の転送オプションを表示する 
か、ぼかすか、非表示にします。デフォルト：表示。 

Change security chip status option 

Client Security Solution のセキユリティー • チップの状態オプションを表示 
するか、ぼかすか、非表示にします。デフォルト：表示。 
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表 25. コンピュータ の棟成 -^ ThinkVantage — Client Security Solution 今ユー ザー • インターフェース ( 続き ) 


ポリシー設定 

説明 

Clear security chip lockout option 

Client Security Solution のセキュリティー • チップのロック解除オプション 
を表示するか、ぼかすか、非表示にします。デフォルト：表示。 

Policy manager option 

Client Security Solution の Policy manager オプションを表示するか、ぼかす 
か、非表示にします。デフォルト：表示。 

Reset/Configure settings option 

Client Security Solution アプリケーションの『構成ウィザード』オプション 
を表示するか、ぼかすか、非表示にします。デフォルト：表示。 

Password manager option 

Client Security Solution の Password manager オプションを表示するか、ぼ 
かすか、非表示にします。デフォルト：表示。 

Hardware Password Reset option 

Client Security Solution のハードウエア • パスワードのリセット • オプショ 
ンを表示するか、ぼかすか、非表示にします。デフォルト：表示。 

Windows password recovery option 

Client Security Solution の Windows パスワードの復元オプションを表示す 
るか、ぼかすか、非表示にします。デフォルト：表示。 

Change authentication mode option 

Client Security Solution アプリケーションの『認証モードの変更』オプショ 
ンを表示するか、ぼかすか、非表示にします。デフォルト：表示。 

Enable/di sable Windows password recovery 
option 

Client Security Solution の、 Windows パスワードの復元を有効/無効にす 
るためのオプションを表示するか、ぼかすか、非表示にします。デ 
フォルト：表示。 

Enable/di sable Password Manager option 

Client Security Solution の 、 Password Manager を有効/無効にするためのオプ 
ションを表示するか、ぼかすか、非表示にします。デフォルト：表示。 


ワークステーション • セキュリティー*ツール 

次の表に、『ワークステーション • セキュリティー • ツール』のポリシー設定を示します。 


表 24. コンピュータの構成 — ThinkVantage _ Client Security Solution ^ ワークステーシヨン • セキュ D ティー • ツール 


ポリシー 

設定 

説明 

ハードウエア • パスワー 
ド、 

ハードウエア • パスワード 

ハードウェア*パスワード情報の表示を有効または無効 
にします。 

ハードウエア • パスワー 
ド、 

Power-On Password 

推奨値を有効または無効として選択するか、この設定を 
無視することを選択します。 

ハードウエア.パスワー 
ド、 

Hara Drive Password 

推奨値を有効または無効として選択するか、この設定を 
無視することを選択します。 

ハードウエア • パスワー 
ド、 

Administrator Password 

推奨値を有効または無効として選択するか、この設定を 
無視することを選択します。 

Windows Users Passwords 

Windows Users Passwords 

Windows ユーザー • パスワ ー ド情報の表示を有効または 
無効にします。 

Windows Users Passwords 

Password 

推奨値を有効または無効として選択するか、この設定を 
無視することを選択します。 

Windows Users Passwords 

Password Age 

パスワードが許可される最大日数。 

Windows Users Passwords 

Password never expires 

推奨値を 『 True 』 、 『 False 』 、または『無視 （ Ignore )』 に 
設定することができます。 

Windows Password Policy 

Windows Password Policy 

Windows パスワード•ポリシー情報の表示を有効または 
無効にします。 

Windows Password Policy 

Minimum number of characters 
in the password 

パスワードの最小文字数を指定するか、この値を『無 
視』します。 
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表 24. コンピユ ータの構成— ThinkVantage Client Security Solution ワークステーシヨン • セキュリティー • 

ツ-ル(続き) 


ポリシー 

設定 

説明 

W indows Password Policy 

Maximum password age 

パスワードの最大使用日数（日数）を設定するか、結果で 
この値を『無視』します。 

Screen Saver 

Screen Saver 

Windows パスワード • ポリシー情報の表示を有効または 
無効にします。 

Screen Saver 

Screen Saver password set 

パスワードの最小文字数を指定するか、この値を『無 
視』します。 

Screen Saver 

Screen Saver timeout 

パスワードの最大使用日数（日数）を設定するか、結果で 
この値を『無視』します。 

File Sharing 

File Sharing 

ファイル共有情報の表示を有効または無効にします。 

File Sharing 

Authorized access 

推奨値を 『 True 』 、 『 False 』 、または『無視 （ Ignore )』 に 
設定することができます。 

Client Security 

Client Security 

Client Security 情報の表示を有効または無効にします。 

Client Security 

Embedded Security Chip 

推奨値を有効または無効として選択するか、この設定を 
無視することを設定します。 

Client Security 

Client Security Solution Version 

Client Security Solution の最小推奨バージヨンを設定する 
か、『無視 （ Ignore )』 を設定します。 


Active Update 

System Update はローカル • システム上の更新クライアント PC を使用して、ユーザーとの対話を行わずに 
Web 上の希望するパッケージを配信します。 System Update は更新されたクライアント PC を照会し、使用 
可能な更新クライアント PC を使用して希望するパッケージをインストールします。 System Update は 
ThinkVantage System Update か、システム上のソフトウエア導入支援を起動します。 

System Update Launcher がインストール済みかどうかを判別するには、次のレジストリ ー•キーの存在 
を確認します。 

HKLM¥software¥lenovo¥Active Update 

System Update を呼び出すには、呼び出し側 Think V antage テクノロジー • プログラムが System Update ラン 
チャー•プログラムを起動して、パラメーター•ファイルを渡す必要があります。（パラメーター•ファ 
イルの説明については、『 System Update パラメーター • ファイル』を参照してください。） 

すべての ThinkVantage テクノロジー.プログラムのヘルプ • メニューから System Update Launcher のメ 
ニュー項目を無効にするには、次の手順に従います。 

1. HKLM ¥ software ¥ lenovo¥Active Update レジストリー • キーに進む。 

2. ActiveUpdate キーの名前を変更するか削除する。 

System Update パラメーター.ファイル 

System Update パラメーター • ファイルには、 System Update に渡される設定が含まれています。次の例で 
示すように TargetApp パラメーターが渡されます。 

く root 〉 

く Targe tApp>ACCESSLENOVO く / TargetApp 〉 

く / root 〉 

く root 〉 

<TargetApp>lEA5A8D5-TE33-llD2-B802-00104B 21678 D</TargetApp> 

く / root 〉 
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第 4 章 ThinkVantage 指紋認証ソフトウエアでの作業 

指紋コンソールは指紋認証ソフトウエア • インストール • フォルダーから実行する必要がありま 
す。基本的な構文は FPRCONSOLE [USER | SETTINGS ] です。 USER コマンドまたは SETTINGS コマン 
ドは、使用する操作モードを指定します。完全なコマンドは 『fprconsole user add TestUser 』 のようにな 
ります。コマンドがわからない場合やすべてのパラメーターが指定されていない場合は、短いコマン 
ド•リストがパラメーターと共に表示されます。 

Fingerprint Software および Management Console をタウンロー ドするには、次の Lenovo Web サイトを参照し 
てください。 

http :// www . Ienovo . com / support / site . wss / document . do ? sitestyie = lenovo & lndocid = HOME-LENOVO 


管理 コンソール ■ ツール 

このセクションでは、ユーザー固有コマンドとグローバル設定のコマンドに関する情報を提供します。 

ユーザー 固有 コマンド 

ユーザーの登録や編集を行う場合は、 USER セクションを使用します。現行ユーザーが管理者権限を持っ 
ていない場合、コンソールの振る舞いは指紋認証ソフトウェアのセキュリティー • モードによって異なり 
ます。保護モード：どのコマンドも許可されません。簡易モード：標準ユーザーでは、 ADD 、 EDIT 、 
および DELETE コマンドが使用できます。ただし、ユーザーは自分のパスポート（ユーザー名で登録） 
しか変更できません。構文は次のとおりです。 

FPRCONSOLE USER command 

ここで、 command は ADD 、 EDIT 、 DELETE 、 LIST 、 IMPORT 、 EXPORT のいずれかのコマンドです。 


表 25. ユーザー固有コマンド 


コマンド 

構文 

説明 

新規ユーザーの登録 

例： 

fprconsole user add 
domainOYtestuser 

ADD [username [I domainY 
username]] 

ユーザー名が指定されない場合は、現 
行ユーザー名が使用されます。 

fprconsole user add 
testuser 



登録ユーザーの編集 

例： 

fprconsole user edit 
domainOYtestuser 

EDIT [username [1 domainY 
username]] 

ユーザー名が指定されない場合は、現 
行ユーザー名が使用されます。 

注：登録されるユーザーはまず自分の 
指紋を検査する必要があります。 

fprconsole user edit 
testuser 
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表 25. ユーザー固有コマンド（続き) 


コマンド 

構文 

説明 

ユーザーの削除 

例： 

fprconsole user delete 
domainOYtestuser 

fprconsole user delete 
testuser 

fprconsole user delete 
/ALL 

DELETE [username [I domainY 
username I / ALL ]] 

/ ALL フラグは、この PC に登録され 
ているすべてのユーザーを削除しま 
す。ユーザー名が指定されない場合 
は、現行ユーザー名が使用されます。 

登録ユーザーの列挙 

List 

登録されたユーザーをリストします。 

登録ユーザーのフアイルへの 
エクスポート 

構文： EXPORT username 
[1 domainYusername ] file 

このコマンドは、登録ユーザーを ハー 
ドディスクのファイルにエクスポー 
卜します。ユーザーは次に、別の PC . 

上、またはユーザーが削除されてい 
る場合は同じ PC . 上の IMPORT コマン 
ドを使用してインポートできます。 

登録ユーザーのインポート 

Syntax ： IMPORT file 

このコマンドは指定したファイルから 
ユーザーをインポートします。 

注：ファイル上のユーザーが同じ指紋 
を使用してすでに同じ PC . に登録され 
ている場合は、識別操作でどちらの 
ユーザーが優先順位を持つかは保証 
されません。 


グローバル設定のコマンド 

指紋認証ソフトウエアのグローバル設定は、 SETTINGS セクシヨンによって変更できます。このセクシヨ 
ンのすべてのコマンドには、管理者権限が必要です。構文は次のとおりです。 

FPRCONSOLE SETTINGS command 

ここで、 command は SECUREMODE 、 LOGON 、 CAD 、 TBX 、 SSO のいずれかのコマンドです。 


表 26. グロー バル設定のコマンド 


コマンド 

構文 

説明 

セキュリティー • モード 

例： 

To set to convenient mode ： 
fprconsole settings 
securemode 0 

SECUREMODE Oil 

この設定は、指紋認証ソフトウェアの簡易 
モードと保護モードを切り替えます。 

ログオン•タイプ 

LOGON Oil [/ FUS ] 

この設定は、ログオン•アプリケーション 
を使用可能（1)、または使用不可 （0) にしま 
す。 / FUS パラメーターを使用する場合、 

PC . の構成上可能であれば、ユーザーの簡 
易切り替えモードでログオンが可能です。 

CTRL + ALT+DEL メッセージ 

CAD Oil 

この設定は、ログオンでの 『 C . trl + Alt+Delete 
を押す』テキストを使用可能（1)、または 
使用不可 （0) にします。 
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表 26 . グロー バル設定のコマンド(続き) 


コマンド 

構文 

説明 

パワーオン•セキュリティー 

TBX 0|1 

この設定は 、 Fingerprint Software のパワー 
オン*セキュリティ ー • サポートをグロー 
バルにオフ （0) にします。パワーオン- 
セキュリティ ー • サポートがオフになつ 
ている場合は、 BIOS 設定に関係なく、パ 
ワーオン • セキュリティー • ウィザード 
やパワーオン • セキュリティー • ページ 
は表 7 K されません。 

パワーオン • セキュリティー • シン 
グル•サインオン 

SSO 0|1 

この設定は、ユーザーが BIOS で検査され 
た際に、自動的にユーザーをログオンさ 
せるための logon で、 BIOS で使用される 
指紋を使用可能（1)、または使用不可 （0) 
にします。 


保護モードおよび簡易モード 

指紋認証ソフトウェアは、保護モードと簡易モードの2つのセキュリティー • モードで実行すること 
ができます。保護モードは、より高レベルのセキュリティーが必要な状況を対象としています。特定 
の機能は管理者にのみ、確保されています。追加認証をせず、パスワードを使用してログオンできる 
のは管理者だけです。 

簡易モードは高レベルのセキュリティーをそれほど重要視しない、家庭用 PC を対象にしています。すべ 
てのユーザーは、他のユーザーのパスポートの編集およびパスワードを使用して（指紋認証は行わない） 
システムにログオンするなどの、すべての操作を実行できます。 

管理者は、ローカル管理者グループの任意のメンバーです。保護モードを設定した後は、管理者だ 
けが簡易モードに切り替えることができます。 

保護モード-管理者 

セキュリティーを強化するために、ログオンのとき、誤ったユーザー名やパスワードが入力された場 
合は、保護モードでは次のメッセージが表示されます。『ユーザー名とパスワードでこの PC にログ 
オンできるのは管理者だけです。』 

表 27 . 保護モードでの管理者用オプション 


指紋 

説明 

新規パスポートの作成 

管理者は自分のパスポートを作成することができ、 

また、制限ユーザーのパスポートも作成することがで 
きます。 

パスポートの編集 

管理者は自分のパスポートだけを編集できます。 

パスポートの削除 

管理者はすべての制限ユーザーとその他の管理者のパス 
ポートを削除できます。他のユーザーがパワーオン•セ 
キュリティーを使用している場合、管理者はパワーオ 
ン • セキュリティーからユーザー • テンプレートをオプ 
シヨンで削除することができます。 

パワーオン • セキュリティー 

管理者は、パワーオンで使用される制限ユーザーおよび 
管理者の指紋を削除することができます。 

注：パワーオン • モードが使用可能な場合は、少なくと 
も1つの指紋がなければなりません。 

設定 
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表 27. 保護モードでの管理者用オプション（続き) 


指紋 

説明 

ログオン設定 

管理者はすべてのログオン設定を変更できます。 

保護スクリーン.セーバー 

管理者はアクセスできます。 

パスポート•タイプ 

管理者はアクセスできます-サーバーと関連ある場合 
のみです。 

セキユリテイ ー • モード 

管理者は保護モードと簡易モードを切り替えることが 
できます。 

Pro サーバー 

管理者はアクセスできます-サーバーと関連ある場合 
のみです。 


保護モード-制限ユーザー 

Windows にログオン中は、制限ユーザーはログオンに指紋を使用する必要があります。制限ユーザーの指 
紋センサーが作動していない場合は、管理者は指紋認証ソフトウエアの設定を簡易モードに変更して、 
ユーザー名とパスワードによるアクセスを可能にする必要があります。 

表 28. 保護モードでの制限ユーザー用オプション 


設定 

説明 

新規パスポートの作成 

制限ユーザーはアクセスできません。 

パスポートの編集 

制限ユーザーは自分のパスポートだけを編集できます。 

パスポートの削除 

制限ユーザーは自分のパスポートだけを削除できます。 

パワーオン • セキュリティー 

制限ユーザーはアクセスできません。 

ログオン設定 

制限ユーザーはログオン設定を変更できません。 

保護スクリーン.セーバー 

制限ユーザーはアクセスできます。 

パスポート•タイプ 

制限ユーザーはアクセスできません。 

セキュリティ ー • モード 

制限ユーザーはセキュリティー • モードを変更でき 
ません。 

Pro サーバー 

制限ユーザーはアクセスできます-サーバーと関連ある 
場合のみです。 


簡易モード-管理者 

Windows へのログオン中は、管理者はユーザー名とパスワードを使用しても、指紋を使用してもログ 
オンできます。 


表 29. 簡易モードでの管理者用オ プシヨン 



設定 

説明 

新規パスポートの作成 

管理者は自分のパスポートだけを作成できます。 

パスポートの編集 

管理者は自分のパスポートだけを編集できます。 

パスポートの削除 

管理者は自分のパスポートだけを削除できます。 

パワーオン • セキュリティー 

管理者は、パワーオンで使用される制限ユーザーおよび 
管理者の指紋を削除することができます。 

注： パワーオン•モードが使用可能な場合は、少なく 
とも1つの指紋がなければなりません。 
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表 29. 簡易モードでの管理者用オプション（続き) 


設定 

説明 

ログオン設定 

管理者はすべてのログオン設定を変更できます。 

保護スクリーン.セーバー 

管理者はアクセスできます。 

パスポート•タイプ 

管理者はアクセスできます-サーバーと関連ある場合 
のみです。 

セキユリテイー • モード 

管理者は保護モードと簡易モードを切り替えることが 
できます。 

Pro サーバー 

管理者はアクセスできます-サーバーと関連ある場合 
のみです。 


簡易 モー ド-制限 ユーザー 


Windows への ログオン中は、制限ユーザーはユーザー名とパスワードを使用しても、指紋を使用して 
もログオンできます。 

表 30. 簡易モードでの制限ユーザー用オプション 


設定 

説明 

新規パスポートの作成 

制限ユーザーは自分のパスワードだけを作成できます。 

パスポートの編集 

制限ユーザーは自分のパスポートだけを編集できます。 

パスポートの削除 

制限ユーザーは自分のパスポートだけを削除できます。 

パワーオン • セキュリティー 

制限ユーザーは自分の指紋だけを削除できます。 

ログオン設定 

制限ユーザーはログオン設定を変更できません。 

保護スクリーン.セーバー 

制限ユーザーはアクセスできます。 

パスポート•タイプ 

制限ユーザーはアクセスできません-サーバーと関連 
ある場合のみです。 

セキュリティー • モード 

制限ユーザーはセキュリティー • モードを変更でき 
ません。 

Pro サーバー 

制限ユーザーはアクセスできます-サーバーと関連ある 
場合のみです。 


構成可能な設定 

指紋認証ソフトウェアの一部のオプシヨンはレジストリー設定で構成することができます。 

• 起動前/パワーオン時ソフトウェア•インターフェース：指紋の起動前またはパワーオン時サポートを 
有効にし、指紋をコンパニオン • チップに格納するための機構は、システムに BIOS またはハード 
ディスク•パスワードが設定されていない限り、通常は指紋認証ソフトウェアに表示されません。こ 
の動作をオーバーライドし、 BIOS またはハードディスク•パスワードが設定されていなくてもこ 
れらのオプシヨンを強制的に表示させるには、レジストリーに以下のいずれか（使用しているコン 
ピューター•マシン • タイプに適用されるもの）を追加します。 

[HKEY LOCAL MACHINE ¥ SOFTWARE¥Protector Suite QLY 1.0] 


EG _ DW 0 RD " BiosFeatures " = 2 

または 

[ HKEY _ LOCAL _ MACHINE ¥ SOFTWARE¥Protector Suite QLY 1.0] 
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REG_DWORD " BiosFeatures " = 4 

この設定は、 BIOS パスワードが設定されていないシステムに SafeGuardEasy がインストールされ、そ 
の SafeGuardEasy がハードディスクを暗号化解除するのに指紋認証を利用している場合に役立ちます。 

• 音： 指紋認証ソフトウェアは、指紋認証プロセスの実行中のさまざまな状況下において、 .wav ファイル 
に含まれる音を再生するように構成できます。これらの音のレジストリー設定は次のとおりです。 

[HKEY_LOCAL_MACHINE¥SOFTWARE¥Protector Suite QL¥1.0¥settings] 

' Success * 

REG SZ “ sndSuccess ” = [path to sound file ] 

スライプが正常に登録されると、指定のファイルが再生されます。 

Failure ’ 

REG SZ “ sndFaiLure ” = [path to sound file ] 

スライプの試行に失敗すると、指定のファイルが再生されます。 


HKEY_LOCAL_MACHINESOFTWAREPoliciesfingerprint 

Scan ’ 

REG SZ “ sndScan ” = [path to sound file ] 

Client Security Solution 関連の操作を行って指紋検証の 
ダイアログが表示されると、指定のファイルが再生されます。 

値が指定されていないか、空であると、サウンドは再生されません。 

Quality ’ 

REG SZ “ sndQuality ” = [path to sound file ] 

読ぶ取り不可能なスワイブが発生すると、指定のファイルが再生されます。 

値が指定されていないか、空であると、サウンドは再生されません。 

. システム•ロック解除中のパスワードの有効性検証： デフォルトでは、システム•ロック解除中に 
は、保存されているパスワードが指紋認証ソフトウェアによって有効性が検証されます。有効性検証 
では、ドメイン•コントローラーと連絡を取る必要があり、遅延が生じる可能性があります。遅延 
を回避するには、システム•ロック解除中に次のようにレジストリーを編集して、パスワードの有 
効性検証を無効にします。 

[ HKEY _ LOCAL _ MACHINE ¥ SOFTWARE¥Protector Suite QL ¥1.0¥ settings ] 

REG _ DW 0 RD " DoNotTestUnlock"=l 

Fingerprint Software はシステム • ログオン時には、引き続きパスワードの有効性を検証します。 

注： 上記のレジストリー • キーを1に設定すると、ドメイン管理者がユーザーのシステムをロックす 
る時期を変更した場合は、ユーザーがログオフして再度ログオンするまで、指紋認証ソフトウェア 
には旧パスワードが保存されます。 


指紋認証ソフトウェアおよび Novell Netware Client 

競合を防止するために、指紋認証ソフトウェアおよび Novell NetWare Client のユーザー名とパスワー 
ドは一致する必要があります。お使いの PC に指紋認証ソフトウェアがインストールしてあり、 Novell 
Netware Client をインストールする場合は、レジストリーの一部の項目が上書きされることがあります。指 
紋認証ソフトウェアのログオンで問題が発生した場合は、ログオン設定画面に移動して、ログオン • 
プロテクターを再度使用可能にしてください。 

お使いの PC に Novell Netware Client がインストールされていても、指紋認証ソフトウェアのインストール 
前にクライアント PC にログオンしていなかった場合、 Novell のログオン画面が表示されます。画面 
で、必要な情報を入力してください。 

注： このセクションの情報は Think Vantage 指紋認証ソフトウェア専用です。 

ログオン • プロテクター設定を変更するには、次のようにします。 
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• 『コントロールセンター』を開始する。 

• 『設定』 をクリックする。 

• 『ログオン設定』 をクリックする。 

. ログオン•プロテクターを使用可能または使用不可にする。指紋ログオンを使用したい場合は、 
『Windows ログオン認証を通常のパスワード認証から指紋認証に置き換える』チェック • ボック 
スにチェック • マークを付けます。 

注： ログオン • プロテクターを使用可能、または使用不可にするには、再起動が必要です。 

. お使いのシステムでユーザーの簡易切り替えがサポートされている場合は、これを使用可能また 
は使用不可にする。 

• (オプション機能）パワーオン • セキュリティーによって認証されたユーザーの自動ログオンを使用可 
能または使用不可にする。 

• Novell ログオン設定を設定する。 Novell ネットワークにログオンする場合は、次の設定が使用可能です。 

-活動化 

指紋認証ソフトウェアは自動的に既知のクレデンシャルを提供します。 Novell のログオンが失敗する 
と 、 Novell Client ログオン画面が表示され、正しいデータの入力を要求するプロンプトが出されます。 

-ログオン中の質問 

指紋認証ソフトウェアは Novell Client ログオン画面を表示して、ログオン • データの入力を要求す 
るプロンプトを出します。 

一 Disabled 

指紋認証ソフトウェアは Novell ログオンを試行しません。 

認証 

Novell を指紋認証ソフトウェアに引き渡すには、次のステップを実行します。 

1. 指紋認証ソフトウェアをインストールする。 

2. Novell Netware Client をインストールする。 

3. プロンプトが出されたら、 『はい』 をクリックしてログオンする。 

4. 再起動する。 

5. プロンプトが出されたら、『はい』をクリックして指紋認証ソフトウェアにログオンする。 

6. Novell Netware Client を起動する。 

7. サーバーに対して認証を行う。 

8. Windows にログオンする。 

9. 再起動する。 

注： Windows と Novell の認証 ID およびパスワードは同じでなければなりません。 


ThinkVantage 指紋認証ソフトウェアのサービス 

Think Vantage 指紋認証ソフトウェアのインストール後、 upeksvr . exe サービスがシステムに追加されます。 
起動中に実行が開始されて、ユーザーがログオンしている間中、実行が続けられます。 upeksw . exe サー 
ビスは、 ThinkVantage 指紋認証ソフトウェアのコアで、デバイスとユーザーのデータに対してすベて 
の操作を実行します。また、すべての生体測定検査の GUI を提供し、ユーザーのデータに対するアク 
セスをセキュアにします。 
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第 5 章 Lenovo Fingerprint Software での作業 

指紋コンソールは 、 Lenovo Fingerprint Software インストール•フオルダーから実行する必要があります。 
基本的な構文は FPRCONSOLE [USER | SETTINGS ] です。 USER コマンドまたは SETTINGS コマンドは、ど 
の操作セットを使用するかを指定します。完全なコマンドは 『fprconsole user add TestUser 』 のようにな 
ります。コマンドがわからない場合やすべてのパラメーターが指定されていない場合は、短いコマン 
ド • リストがパラメーターと共に表示されます。 


管理 コンソール ■ ツール 

Lenovo Fingerprint Software の管理コンソール.ツールについては、47ページの『管理コンソール.ツー 
ル』を参照してください。 


Lenovo Fingerprint Software のサービス 

注： Lenovo Fingerprint Software は、システム上の夕ーミナル•サービスを必要とします。夕ーミナル • 
サービスをオフにすると 、 Lenovo Fingerprint Software で予期しない結果が生じる可能性があります。 

Lenovo Fingerprint Software のインストール後、以下のサービスがシステムに追加されます。 

• ATService.exe (デフオルトでオン） 

指紋認証システムを使用するには、 ATService . exe サービスをオンにする必要があります。このサービ 
スは、指紋センサーを使用してアプリケーションからの要求を管理します。 

• ADMonitor.exe (デフオルトでオフ） 

Active Directory 管理をサポートするには、 ADMonitor . exe サービスをオンにする必要があります。この 
サービスは 、 Active Directory から伝搬された変更がないかレジストリーをモニターし、ローカルで 
その変更を反映させます。 


Lenovo Fingerprint Software の Active Directory サボート 

次の表に 、 Lenovo F ingerprint Software のポリシ^一 設定を示します。 


表 31. ポリシー設定 


設定 

説明 

指紋ログオンを有効にする/無効にする 

コンピューターにログインするために Windows パス 
ワードではなく、指紋センサーを使用するように指定 
します。これを使用可能に設定した場合、さらに使用 
可能または使用不可に設定できる2つのオプションが 
あります。 

• Disable CTRL + ALT+DEL dialog for logon interface 
このオプションを選択すると、ユーザーに 
Ctrl + Alt + Delete を押してログオンするように指示す 
るメッセージがオフになります。 （ WindowsXP での 
み使用可能です。） 

• Require non-admimstrator user to logon with fingerprint 
authentication 

このオプションを選択した場合、管理者以外のユー 
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表 31. ポリシー設定（続き) 


設定 

説明 


ザーは、指紋センサーを使用したログオンのみが 
可能になります。 

指紋認証後のパスワードの取得を許可する 

これを使用可能に設定した場合、ユーザーは、指紋認証 
後に、 Lenovo F ingerprint Software でユーザーのアカウン 
卜の Windows パスワードを表示できます。 

パワーオン•セキュリティ•オプションを常に表示する 

これを使用可能に設定した場合、コンピューターが才 
ンになったとき、ユーザーは、パワーオン•パスワー 
ドとハードディスク • ドライブ•パスワードではなく 
指紋センサーを使用するように選択できます。 Lenovo 
Fingerprint Software の登録ウィンドウで、登録する各指 
ごとに、パワーオン指紋認証を使用可能または使用不 
可に設定できます。 

パワーオン • パスワードと HD パスワードの代わりに 
指紋認証を使用する 

これを使用可能に設定すると、パワーオンおよびハー 
ドディスク • ドライブのパスワードではなく、指紋認 
証が使用されます。 

ロックアウトされる前に許可するログオン試行回数 
を設定する 

ユーザーがロックアウトされる前に許可するログオン試 
行失敗の数を設定し、ユーザーがロックアウトされる期 
間（秒単位）も設定します。 

非活動期間を設定する 

ユーザーがログオフするまでに許可されるシステムの 
非活動期間（秒単位）を設定します。 

ユーザーの指紋登録を許可する 

これを使用可能に設定した場合、管理者以外のユー 
ザーは、 Lenovo Fingerprint Software を使用して指紋を 
登録できます。 

ユーザーによる指紋削除を許可する 

これを使用可能に設定した場合、管理者以外のユーザー 
は、 Lenovo F ingerprint Software を使用して、以前に登録 
した指紋を削除できます。 

Allow users to import/export fingerprints 

これを使用可能に設定した場合、管理者以外のユーザー 
は、 Lenovo F ingerprint Software を使用して、以前に登録 
した指紋をインポートおよびエクスポートできます。 

指紋認証ソフトウェアの『設定』タブの要素を表示 
する/隠す 

これを使用可能に設定した場合、 IT 管理者は、指紋認証 
ソフトウエアの設定 GUI を制御できます。 
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第 6 章ベスト • プラクティス 

この章では、 Client Security Solution および Fingerprint Software のべスト • プラクティスを示すシナリオ 
を提示します。このシナリオでは、ハードディスク • ドライブの設定から始まり、何回かの更新を行 
い、デプロイメントまでの手順を説明しています。 Lenovo および他社製の両方の PC でのインストール 
を説明します。 

Client Security Solution をインストールする場合のデプロイメント例 

次のセクションでは、 Client Security Solution をデスクトップ • コンピューターとノートブック • コン 
ピューターの両方にインストールする場合の例をいくつか挙げます。 

シナリオ1 

これは、各製品を次のような仮定のカスタマー要件でデスクトップ PC にインストールする場合の例です。 

• Administration 

- PC の管理にローカル管理者アカウントを使用 

• Client Security Solution 

-エミュレーション•モードでのインストールおよび実行 

- Lenovo の PC すべてが TPM (セキュリティー • チップ） を備えているわけではありません。 

- Client Security パスフレーズを使用可能に設定 

-パスフレーズによって Client Security Solution アプリケーションを保護します。 

- Client Security Windows ログオンを使用可能に設定 

- Client Security パスフレーズで Windows にログインします。 

- エンド. ユーザー • パスフレーズのリカバリー機能を使用可能に設定 

-ユーザーが、自分で決めた3つの質問に答えることによって、パスフレーズをリカバリーで 
きるようにします。 

-パスワード=” XMLscriptPW ” を使用した Client Security Solution XML スクリプトを暗号化します。 

- Client Security Solution 構成ファイルをパスワードで保護します。 

-指紋認証ソフトウエアのインストールはオプション 

準備マシンで以下を実行します。 

1. Windows の『ローカル管理者』アカウントでログインします。 

2. Client Security Solution プログラムを、次のオプションを指定してインストールします。 

Client Security Solution ： tvtcss 82_ xxxx.exe /s / v"/qn “ EMULATI 0 NM 0 DE =1” 

(where XXXX is the build ID ) 

“ N 0 CSSWIZARD =1”” 

3 . 再起動後、ローカル管理者アカウントで Windows にログインし、デプロイメント用の XML スクリプ 
卜を作成します。コマンド • ラインから次のコマンドを実行してください。 

“ C:¥Program FiLes ¥ Lenovo¥Client Security SolutionYcss wizarde . exe ” 

ウィザードで、次のオプションを選択します。 

• セキュア•ログオン•メソッド-►次へ をクリックします。 
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• 管理者アカウント用の Windows パスワードを入力し、 『次へ』 をクリックします。（たとえ 
ば WPW 4 Admin ) 

• 管理者ア カウント 用の Client Security パスフ レー ズ （ CSPP 4 Admin など）を入力して 、 『Client Security 
パ スフレーズを使用して、 Rescue and Recovery ワークス ぺ ース への アクセスを保護す る』 チェッ 

ク•ボックスにチェック•マークを付けてから、 『次へ』 をクリックします。 

• 管理者アカウント用の3つの質問と回答を選択してから、 『次へ』 をクリックします。 

a . 初めて飼ったペットの名前は？ 

(たとえば Snowball ) 

b . 好きな映画は？ 

(たとえば『風と共に去りぬ』） 

c . 好きなスポーツ•チームは？ 

( と又は 、 Carolina Hurricanes ) 

• 『要約』を確認し、 『適用』 を選択して XML ファイルを C:¥ThinkCentre.xmL に書き込み、もう 
一度 『適用』 をクリックします。 

. 『完了』 をクリックしてウィザードを閉じる 

4. テキスト•エディターで次のファイルを開き （ XML スクリプト•エディターまたは Microsoft Word 
2003には XML フォーマット機能が組み込まれています)、以下の設定を変更します。 

• ドメイン設定への参照をすべて削除します。これにより、スクリプトには、各システムで代わり 
にローカル PC 名を使用するように通知されます。ファイルを保存します。 

5. C：¥Program Files¥Lenovo¥Client Security Solution¥xml crypt tool.exe の ツールを 使用して 、 XML スク 
リブトをパスワードで暗号化します。コマンド•プ b ンブトからファイルを実行するには、次の 
構文を使用します。 

a . xml crypt tool.exe C :¥ ThmkCentre.xmi /encrypt XMLScnptPW . 

b . これでファイルは C :¥ ThinkCentre . xml . enc となり、パスワード = XMLScriptPW で保護されます。 
これで、ファイル C :¥ ThinkCentre . xml . enc をデプロイメント PC に追加する準備ができました。 

デプロイメント • マシンで以下を実行します。 

1. ローカル管理者アカウントで Windows にログインします。 

2. Rescue and Recovery および Client Security Solution プログラムを、次のオプションを指定してインス 
トールします。 

setup _ tvtrnr 40_ xxxxcc.exe /s / v"/qn “ EMULATIONMODEd ” 

(ここで xxxx はビルド ID で、 cc は国別コードです。） 

“ N 0 CSSWIZARD =1，，，， 

注： 

a . Windows XP では Z 652 ZIXxxxxyy 00. tvt、Windows Vista では Z 633 ZISxxxxyy 00 .tvt (xxxx はビルド ID 、 
yy は国 ID です）などの. tvt ファイルが実行可能ファイルと同じフォルダーにあることを確認しま 
す。同じフォルダーにない場合、インストールは失敗します。 

b . 管理者用インストールを実行する場合は、57ページの『シナリオ1』を参照してください。 

3. 再起動後、ローカル管理者アカウントで Windows にログインします。 

4. 先に作成した ThinkCentre . xml . enc ファイルを C :¥ のルート•ディレクトリーに追加します。 

5. RunOnceEx コマンドを、以下のパラメーターを指定して作成します。 

• RunonceEx キーに0001という新規キーを追加します。次のようになります。 

HKEY _ LOCAL_MACHINE YSoftwareYMicrosoftYWindowsYCurrent VersionYRunOnceExYOOOl 

• そのキーに、ストリング値の名前 CSSEnroU を次の値で追加します。 
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"C：¥Program FilesYLenovoYClient Security SolutionYvmserver.exe" 

C ： ¥ThinkCenter.xml.enc XMLscriptPW 

6. 7 orr 7 oC：¥Program Files ¥ Lenovo¥Rescue and RecoveryYrrcmd . exe " sysprepbackup Location 二 L name= ,, Sysprep 
Backup を実行します。システムの準備ができたら、次のように出力されます。 

"Ready to take sysprep backup.** 

氺木本木 

** PLEASE RUN SYSPREP NOW AND SHUT DOWN.** 

木木氺木 

** Next time the machine boots, it will boot ** 

** to the Predesktop Area and take a backup.** 

7. Sysprep を実行します 0 

8. PC をシャットダウンしてから再起動します 。 Rescue and Recovery ワークスペースで、バックアップ処 
理が開始されます。 

注：メッセージ『復元が進行中ですが、バックアップが行われています』が表示されます。バック 
アップ後は、電源をオフにします。再起動はしないでください。 

これで、 Sysprep の基本バックアップが完了しました。 

シナリオ2 

これは、各製品を次のような仮定のカスタマー要件でノートブックにインストールする場合の例です。 

• Administration 

-以前のバージョンの Client Security Solution がインストールされている PC にインストール 
- PC の管理にドメイン管理者アカウントを使用 

-すべてのコンピューターに、 BIOS スーパーバイザー•パスワード BIOSpw を割り当て 

• Client Security Solution 

- TPM を活用 

-すべての PC にセキュリティー•チップを搭載 
- Password Manager を使用可能に設定 

- Client Security Solution に対する認証として、ユーザーの Windows パスワードを活用 
-パスワード= " XMLscriptPW " を使用した Client Security Solution XML スクリプトの暗号化 
- Client Security Solution 構成ファイルをパスワードで保護します。 

• ThinkVantage 指紋認証ソフトウェア 

- BIOS とハードディスクのパスワードを使用しない 
-指紋認証ソフトウェアによるログオン 

-一定のセルフ•ユーザー登録期間後、ユーザーは、管理者以外のユーザーの場合は指紋を必 
要とするセキュア•モード.ログオンに切り替えるため、デュアル • ファクター認証方式を 
効果的に実行できます。 

-指紋チュートリアルの組み込み 

-エンド•ユーザーが、指紋を正しく読み取らせる方法や、操作を間違った場合は視覚的なフィー 
ドバックを得る方法を知ることができます。 

準備マシンで以下を実行します。 

1. 電源オフの状態から PC を始動し、 F 1 を押して BIOS に入り、 『 Security 』 メニューに移動して 『Clear 
Security Chip 』 を 『 Yes 』 にします。保存してから BIOS を終了します。 
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2. ドメイン管理者アカウントで Windows にログインします。 

3. ThinkVantage 指紋認証ソフトウェアをインストールします。 fDOlzpz 2001 us 00 .exe を実行して、 Web 
パッケージから setup.exe ファイルを解凍します。 setup.exe は、自動的に次の場所に解凍されます。 

C ：¥ SWT 00 LS ¥ APPS ¥ TFS 5.8.2- BuildxxxxYApplicationY 0409 Ysetup.exe (ここで、 xxxx はビルド ID です)。 

4. f 001 zpz 7001 us 00 .exe を実行して Web パッケ^ージから tutess.exe ファイルを解凍し、 ThinkVantage 指紋 
チュ^一トリアルをインストールします。 setup.exe は、自動的に次の場所に解凍されます。 

C ： ¥SWT00LS¥APPS¥tutorial¥TFS5.8.2 BuildxxxxYTutorialY0409Ytutess.exe 

5. f 001 zpz 5001 us 00 .exe を実行して Web パッケージから fprconsole.exe を角翠凍し、 ThinkVantage 指紋コン 
ソールをインストールします。 fDOlzpz 5001 us 00 .exe を実行すると、 setup.exe は自動的に次の場所に解 
凍されます。 

C ： ¥SWTOOLS¥APPS¥fpr_con¥APPS¥UPEK¥FPR ConsoLe¥TFS5.8.2-BuildxxxYFprconsoleYfprconsole.exe 

6. Client Security Solution プログラムを、次のオプシヨンを指定してインストールします。 
tvtcss82_xxxxcc.exe /s ， v”/qn N0CSSWIZARD=1 SUPERVISORPW= 

” BI 0 Spw ，，__ 

7. 再起動後はドメイン管理者アカウントで Windows にログインし、デプロイメント用の XML スクリプ 
卜を作成します。コマンド • ラインから次のコマンドを実行してください。 

“ C:¥Program FilesYLenovoYCLient Security SolutionYcss wizard . exe ” 

/ name ： C：¥ThinkPad 

ウィザードで、スクリプト例に合わせて次のオプションを選択します。 

• セキュア•ログオン•メソッド-►次へ をクリックします。 

• ドメイン管理者アカウント用の Windows パスワード （ WPW 4 Admin など）を入力して、 『次へ』 

をクリックします。 

• ドメイン管理者アカウントの Client Security パスフレーズを入力 

• 『パスワードの復元設定を無視』 にチェック•マークを付け、 『次へ』 をクリックします。 

• 要約を確認し、 『適用』 をクリックして、 XML ファイルを次の場所に書き込みます。 

C ： ¥ThinkPad.xml 

• 『完了』 をクリックしてウィザードを閉じます。 

8. C：¥Program Files¥Lenovo¥Client Security Solution¥xml crypt tooLexe のツールを使用して、 XML スク 
リブトをパスワードで暗号化します。コマンド•プ己ンプ _ 卜から、次の構文を実行します。 

a . xml crypt tooLexe C ： ¥ThinkPad.xml /encrypt XMLScriptPW 

b . これでファイルは C :¥ ThinkPad . xml.enc となり、パスワード= XMLScriptPW で保護されます。 

デプロイメント • マシンで以下を実行します。 

1. 自社のソフトウェア配布ツールを使用して、 ThinkVantage Fingerprint Software の実行可能ファイル 
setup.exe (準備 PC から各デプロイメント PC に解凍されたもの）をデプロイします。 setup.exe が PC に 
配信されたら、次のコマンドを実行してインストールを行います。 

setup.exe CTLCNTR =0 /q /i 

2. 自社のソフトウェア配布ツールを使用して、 ThinkVantage Fingerprint チュートリアルの実行可能ファ 
イル tutess.exe (準備 PC から各デプロイメント PC に解凍されたもの）をデプロイします。 tutess.exe が 
PC に配信されたら、次のコマンドを実行してインストールを行います。 

tutess.exe /q /i 

3. 自社のソフトウェア配布ツールを使用して、 ThinkVantage Fingerprint Console の実行可能ファイル 
fprconsole.exe (準備 PC から各デプロイメント PC に解凍されたもの）をデプロイします。 

• ^ rconsole.exe フアイルを C：¥Program Files¥ThinkVantage Fingerprint Software^ デイレクトリーに入 

れます。 

• 次のコマンドを実行して、 BIOS パワーオン•セキュリティー•サポートをオフにします。 
fprconsole.exe settings TBX 0 
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4. 自社のソフトウェア配布ツールを使用して 、 ThinkVantage Client Solution 実行可能ファイル 
tvtvcss 82_ xxxx.exe (ここで xxxx ■はビルド ID ) をデプロイします。 

• tvtvcss 82_ xxxx . exe が PC に配信されたら、次のコマンドを実行してインストールを行います。 

tvtvcss8B_xxxx.exe Is /v"/qn "N0CSSWIZARD=1" "SUPERVISORPW="BIOSpw"" 

• ソフトウェアをインストールすると、 TPM ハードウェアが自動的に使用可能になります。 

5. システムの再起動後、次の手順で、 XML スクリプト•ファイルによるシステム構成を行います。 

• 先に作成した ThinkPad . xml . enc ファイルを、 C :¥ ディレクトリーにコピーします。 

• 別のコマンド•プロンプトを開き、以下を実行します。 

"C：¥Program FiLes¥Lenovo¥Client Security SolutionYvmserver.exe" C ： ¥ThinkPad.xmLenc XMLScriptPW 

6. 再起動すると、システムで Client Security Solution ユーザー登録の準備ができています。各ユーザー 
は、それぞれのユーザー ID と Windows パスワードでシステムにログインできます。システムに 口 
グインする各ユーザーに 、 Client Security Solution への登録を促すプロンプトが自動的に出され、 
登録すると、指紋センサーへの登録ができるようになります。 

7. システムのすべてのユーザーが ThinkVantage 指紋認証ソフトウェアに登録されたら、セキュア • モー 
ド設定を使用可能にして、 Windows のすベての管理者以外のユーザーに、各自の指紋でログオン 
させるようにすることができます。 

• 次のコマンドを実行します。 

"C：¥Program FiLesYThinkVantage nngerprint SoftwareYTprconsole.exe" settings securemode 1 

• 『パスワードを使用してログインするには Ctrl + Alt + Delete を押してください （Press Ctrl + Alt+Delete 
to log in using a password )』 というメッセージをログオン画面から削除するには、次のコマンドを 
実行してください。 

"C：¥Program FiLesYThinkVantage nngerprint SoftwareYTprconsole.exe settings" 

CAD 0 

これで 、 Client Security Solution 8.21 と ThinkVantage 指紋認証ソフトウェアのデプロイメントが完了 
しました。 


Client Security Solution モードの切り替え 

Client Security Solution モードを『便利なログオン•メソッド』から『セキュア•ログオン•メソッド』に 
切り替えるか、『セキュア•ログオン•メソッド』から『便利なログオン•メソッド』に切り替える 
場合で、システムのバックアップに Rescue and Recovery を使用している場合、モードを切り替えた後 
に新しい基本バックアップをとってください。 


企業用 Active Directory の展開 

企業用 Active Directory を展開する場合、次のステップを実行します。 

1 .Active Directory または LANDesk を使用してインストールします。 

a . Active Directory および LANDesk を使用してバックアップを取り、バックアップを取った人 
物と時点について報告を得ます。 

b . バックアップの作成、バックアップの削除、スケジュール•オプション、およびパスワードの 
制約事項に関する機能を特定のグループに付与してから、グループを変更し、設定が存続する 
かどうかを参照します。 

c . Active Directory から Antidote Delivery Manager を有効にします。実行するパッケージを提供し、報 
告が取り込まれることを確認します。 


CD またはスクリプト ■ ファイルのスタンドアロン • インス I -ール 

CD またはスクリプト • ファイルのスタンドアロン • インストールの場合、次のステップを実行します。 
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1. バッチ • ファイルを使用して Client Security Solution および指紋認証ソフトウエア • テクノロジーを 
サイレント•インストールします。 

2. BIOS パスワード • リカバリーをサイレント構成します。 

System Update 

System Update をするには、次のステップを実行します。 

1. 内容を制御するために、 Lenovo サーバーに移動する代わりに、大企業がサーバーをセットアップする 
方法をシミュレートして、カスタマイズ済みのシステム更新サーバーを使って Client Security Solution 
および指紋認証ソフトウエア • テクノロジーをインストールします。 

2. 3種類のバージョンの古いソフトウエア （Rescue and Recovery 1.0/2.0/3.0、指紋認証 、 Client Security 
Solution 5.4 ~ 6、 FFE ) を上書きインストールします。古いバージョンに上書きして新しいバージョン 
をインストールする際には、設定を保持する必要があります。 

System Migration Assistant 

Client Security Solution 7.0 のある T 40 から Client Security Solution 8.21のある T 60 にマイグレーシヨンします 0 

tpm での鍵生成を使用した証明書の生成 

証明書は Client Security CSP を使用して直接生成でき、証明書内の秘密鍵は TPM によって生成され、保護 
されます 。 Client Security Solution CSP を使用して証明書を要求するには、次のようにします。 

要件： 

• サーバー • マシンに 以下が インス トールされ ている 必要があります。 

一 Windows 2003 Enterprise 以上 
- Active Directory 
- 証明機関サービス 

• クライアント • マシンは以下の要件に適合している必要があります。 

- TPM が使用可能になっている 
- Client Security Solution がインストールされている 

サーバーからの 証明書の要求 
TPM ユーザーの テン プレー トの作成 

TMP ユーザーのテンプレートを作成するには、以下の手順をすべて実行します。 

1. 『スタート』—『ファイル名を指定して実行』 をクリックします。 

2. mmc と入力し、 『 OK 』 をクリックします。コンソール•ウィンドウが表示されます。 

3. 『ファイル』 メニューの 『スナップインの追加と削除』 をクリックしてから、 『追加』 をクリックし 
ます。『スタンドアロンスナップインの追加』ウィンドウが表示されます。 

4. スナップイン • リストで 『証明機関』 をダブルクリックし、 『閉じる』 をクリックします。 

5. 『スナップインの追加と削除』ウィンドウで 『 OK 』 をクリックします。 

6. コンソール•ツリーから 『証明書テンプレート』 をクリックします。すべての証明書テンプレー 
卜が左側のペインに表示されます。 

7. 操作-►テンプレートの 複製の順にクリックします。 

8. 『表示名』 フィールドに TPM User と入力します。 
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9. 『要求処理』 タブで 『 CSP 』 をクリックします。 『サブジェクトのコンピュータで利用可能な任意の 

CSP 』 が選択されていることを確認します。 

10. 『一般』 タブをクリックします 。 『Active Directory の証明書を発行する』 が選択されていること 
を確認します。 

11. 『グループ名 または ユーザー名』リストの 『セキュリティ』 タブをクリックし 、 『Authenticated 
Users 』 をクリックして 、 『Authenticated Users のアクセス許可』 で 『登録』 が選択されていること 
を確認します。 

エンタープライズ証明機関の構成 

エンタープライズ証明機関を構成して TPM ユーザー証明書を発行するには、以下の手順をすべて実 
行します。 

1. 証明機関を開きます。 

2. コンソール•ツリーで、 『証明書テンプレート』 をクリックします。 

3. 『操作』 メニューから 新規-►発行する証明書を クリックします。 

4. 『 TPM 』 をクリックし、 『 OK 』 をクリックします。 

クライアントからの証明書の適用 

クライアントから証明書を適用するには、以下の手順をすべて実行します。 

1. イントラ ネットへ 接続し 、 Internet Explorer を開始して、 CA サービスがインストールされているサー 
バーの IP アドレスを入力します。 

2. プロンプト • ウィンドウにドメイン • ユーザー名とパスワードを入力します。 

3. 『タスクの選択』 の 『証明書の要求』を クリック します。 

4. Web ページの下部にある 『証明書の要求の詳細設定』 をクリックします。 

5. 『証明書の要求の詳細設定』ページで、以下の設定を変更します。 

• 『証明書テンプレート』 ドロップダウン•リストから 『TPM ユーザー （TPM User )』 を選択します。 

•『 CSP 』 ドロップダウン • リストから 『ThinkVantage Client Security Solution CSP 』 を選択します。 

. 『エクスポート可能なキーとしてマークする』 が選択されていないことを確認します。 

• 『送信』 をクリックし、プロセスに従います。 

. 『証明書は発行されました』ページで『この 証明書のインストール』 をクリックします。『インス 
トールされた証明書』ページが表示されます。 


2008 ThinkPad ノートブック • コンピューター-モデル 
( R400/R500/T400/T500/W500/X200/X301) での USB 指紋センサー付きキー 
ボードの使用 

Lenovo は、 ThinkPad ® ノー トブック •コンピューター • モデルと USB キーボードに おける 指紋認証を提供 
する 2つのベンダーと契約して います。 2008より前の ThinkPad ノート ブック. コンピューター.モデル 
(例えば、 T 61 など）では、 ThinkVantage 指紋センサーを使用し ます。 2008 ThinkPad ノート ブック •コ 
ンピューター • モデル （ T 400 以降）では、 Lenovo 指紋センサーを使用し ます。 Lenovo の USB 指紋セン 
サー付きキーボードでは すべて、 ThinkVantage 指紋センサーを使用し ます。 一部の ThinkPad ノー トブッ 
ク • モデル（例えば、外部 USB キーボードを備えた ThinkPad T 400 など）で指紋センサー付きキーボード 
を使用 するとき には、特別な考慮が必要です。 

このセクションでは、最新の ThinkPad ノートブック • コンピューター•モデルにインストールされた指紋 
認証ソフトウェアの一般的な使用法のシナリオとデブロイメントの戦略について説明します。 

注： 
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• Lenovo Fingerprint Software 

Lenovo Fingerprint Software は、 AuthenTec 指紋センサー（例えば、 T 400内蔵の指紋センサーなど）の 
ソフトウェアです。 

• ThinKVantage Fingerpnnt Software 

ThinkVantage 指紋認証ソフトウェアは、 UPEK 指紋センサー（例えば、 T 61 内蔵の指紋センサー、すべて 
の外部 USB キーボードの指紋センサーなど）のソフトウェアです。 

Windows Vista のログオン 

Windows Vista オペレーティング • システムにログオンするときには、随時、 AuthenTec 指紋センサーも 
UPEK 指紋センサーも使用できます。 

1. Lenovo Fingerprint Software バージョン 3.2.0.275 以降をインストールします。 

2. ThinkVantage 指紋認証ソフトウェアバージョン 5.8.2.4824 以降をインストールします。 

3. PC を再起動します。指紋登録ウィザードが自動的に開始されます。 

4. ThinkVantage 指紋認証ソフトウェアを使用して、外部指紋センサーに指紋を登録します。自動的に 
開始されない場合は、『スタート』—■プログラム— 『 ThinkVantage 』-► ThinkVantage Fingerprint 
Software の順にクリックして、登録を開始します。 

5. Windows パスワードを入力するように求められたら入力し、登録する指を選択します。 

6. コンピューター画面のプロンプトに従い、外部指紋センサーを使用して指を登録します。 

7. ウィンドウの上部にある『設定』をクリックします。 

8. 『Windows にログインするとき、パスワードではなく指紋スキャンを使用する』チェック•ボックス 
を選択し、 『 OK 』 をクリックしてから、『閉じる』をクリックしてウィンドウを閉じます。 

9. コンピューターを再起動し、外部指紋センサーで Windows にログオンするために指紋を使用できる 
ことを確認します。 

10. 指紋の登録を使用して、内蔵指紋センサーで指紋を登録します。自動的に開始されない場合は、『ス 

夕一卜』—『プログラム』— 『 ThinkVantage』-►『Lenovo Fingerprint Software 』 の順にクリック 
して、登録を開始します。 ^ 

11. Windows パスワードを入力するように求められたら入力し、登録する指を選択します。 

12. コンピューター画面のプロンプトに従い、内蔵指紋センサーを使用して指を登録します。 

13. ウィンドウの上部にある『設定』をクリックします。 

14. 『Windows にログインするとき、パスワードではなく指紋スキャンを使用する』チェック•ボックス 
を選択し、 『 OK 』 をクリックしてから、『閉じる』をクリックしてウィンドウを閉じます。 

15. コンピューターを再起動し、内蔵指紋センサーで Windows にログオンするために指紋を使用できる 
ことを確認します。 

Windows XP のログオン 

Windows XP オペレーティング • システムにログオンするときには、随時、 AuthenTec 指紋センサーも 
UPEK 指紋センサーも使用できます。 

シナリオ 1 - USB キーボードを備えた ThinkPad T400 ( ドメインに接続されていない） 

Windows XP のようこそ画面を使用します。 


1. Lenovo Fingerprint Software バージョン 3.2.0.275 以降をインストールします。 

2. ThinkVantage 指紋認証ソフトウエアバージョン 5.8.2.4824 以降をインストールします。 

3. WindowsXP のようこそ画面を使用可能にします。 

a . 『コントロールパネル』—『ユーザーアカウント』を開きます。 

b . 『ユーザーのログオンやログオフの方法を変更する』をクリックします。 


64 Client Security Solution 8.21 デブロイ メント • ガイド 



C. 『ようこそ画面を使用する』チェック•ボックスを選択します。 

このチェック•ボックスが選択不可の場合は、65ページの『シナリオ 2- USB キーボードを備えた 
ThinkPadT 400 ( ドメインに接続されている)』を参照してください。 

4. 『スタート 』- ► 『プログラム』 — 『 ThinkVantage 』-► 『Lenovo Fingerprint Software 』 の順にクリック 
して、登録を開始します。 

5. Windows パスワードを入力するように求められたら入力し、登録する指を選択します。 

6. コンピューター画面のプロンプトに従い、内蔵指紋センサーを使用して指を登録します。 

7. ウインドウの上部にある『設定』をクリックします。 

8. 『Windows にログインするとき、パスワードではなく指紋スキヤンを使用する』チェック•ボックス 
を選択し、『ユーザーの簡易切り替えサポートを無効にする』チェック•ボックスをクリアし、 

『 OK 』 をクリックしてから、『閉じる』をクリックしてウインドウを閉じます。 

9. コンピューターを再起動し、内蔵指紋センサーで Windows にログオンするために指紋を使用できる 
ことを確認します。 

10. 外部 USB キーボードを接続します。 

11. 『スタート』今『プログラム』今 『 ThinkVantage 』 今 『ThinkVantage Fingerprint Software 』 の順に 

クリックして、登録を開始します。 I " ' 

12. 『指紋』- ► 『指紋を登録/編集』をクリックしてから、『次へ』をクリックして、 『 Windows パス 
ワード』ウィンドウを表示します。 

13. Windows パスワードを入力するように求められたら入力し、登録する指を選択します。 

14. 画面のプロンプトに従い、 USB キーボードの外部指紋センサーを使用して指を登録します。 

15. 指紋登録ウィザードを完了してから、『完了』をクリックしてウィザードを閉じます。 

16. 『ThinkVantage Fingerprint Software 』 ウインドウで、『設定』- ► 『システム設定』をクリックして、 
『ThinkVantage Fingerprint Software 設定』ウインドウを表示します。 

17. 『ログオン』タブで、『ユーザーの簡易切り替え』チェック•ボックスを選択します。 

18. 『 OK 』 をクリックしてから 、 r Think Vantage 指紋認証ソフトウェア』ウインドウを閉じます。 

19. コンピューターを再起動し、内蔵または外部指紋センサーで Windows にログオンするために指 
紋を使用できることを確認します。 

シナリオ 2 -USB キーポードを備えた ThinkPad T400 ( ドメインに接続されている） 

Client Security Solution のログオン • インターフェース ( GINA ) を使用します。 

1. Lenovo Fingerprint Software バージョン 3.2.0.275 以降をインストールします。 

2. ThinkVantage 指紋認証ソフトウェアバージョン 5.8.2.4824 以降をインストールします。 

3. Client Security Solution バージョン 8.20.0035 以降をインストールします。 

4. USB キーボードがシステムに接続されていることを確認します。 

5. PC を再起動します。指紋登録ウィザードが自動的に開始されます。自動的に開始されない場合は、 

『スタート』今『プログラム』今 rThinkVantage 』— 『ThinkVantage Fingerprint Software 』 の順に 

クリックして、登録を開始します。 

6. Windows パスワードを入力するように求められたら入力し、登録する指を選択します。 

7. コンピューター画面のプロンプトに従い、 USB キーボードの外部指紋センサーを使用して指を登録 
してから、『次へ』をクリックしてウインドウを表示します。 

8. 『Client Security Solution を構成する』チェック•ボックスを選択してから、『完了』をクリックし 
てウインドウを閉じます。 

9. 『スタート』- ► プログラム — 『 ThinkVantage 』—■ Lenovo Fingerprint Software の順にクリックして、 

登録を開始します。 

10. Windows パスワードを入力するように求められたら入力し、登録する指を選択します。 
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11. コンピューター画面のプロンプトに従い、内蔵指紋センサーを使用して指を登録します。 

12. ウィンドウの上部にある『設定』をクリックします。 

13. 『 Windows にログインするとき、パスワードではなく指紋スキヤンを使用する』チェック•ボックス 
をクリアし、 『 OK 』 をクリックしてから、『閉じる』をクリックしてウィンドウを閉じます。 

14. コンピューターを再起動し、ご自分のパスワードを使用して Windows にログオンします。 

15. 『スタート』—•プログラム— 『 ThinkVantage 』 - ► Client Security Solution をクリックして 、 CSS 
を開始します。 

16. 『拡張』メニューから『セキュリティー•ポリシーの管理』を選択して 、 『Policy Manager 』 ウィン 
ドウを表示します。 


17. 『ユーザー処置』パネルで 『Windows へのログオン』を選択します。 

18. 『セキュリティー.ポリシー』パネルで『このユーザー処置にデフオルトのセキュリティー•ポリ 

シーを使用します』を選択します。 

19. 『 OK 』 をクリックしてから、『はい』をクリックして、コンピューターを再起動します。 

20. 再起動後に、内蔵または外部指紋センサーで Windows にログオンするために指紋を使用できる 
ことを確認します。 

Client Security solution と Password Manager 

Windows ログオンとは異なり 、 Client Security Solution と Password Manager からの認証要求は、優先指紋セ 
ンサーでのみ機能します。例えば、指紋センサー付きキーボードが接続されている場合、その指紋セン 
サーが優先デバイスになります。指紋センサー付きキーボードが接続されていない場合は 、 ThinkPad 
内蔵指紋センサーが優先デバイスになります。 

優先デバイスを変更するには、次のようなレジストリー項目を作成します。 

[HKLM¥Software¥Lenovo¥TVT CommonYCLient Security Solution] 

REG_DW0RD "PreferlnternaLFPSensor"=1 

表 32 .レ ジス トリー-キー 


名前 

値 

説明 

PrererlnternalFPSensor 

0 ( デフオノレト） 

指紋センサー付きキーボードが接続 
されているときには必ず、外部指紋 
センサーが優先されるように指定し 
ます。 

1 

内蔵指紋センサーが優先されるよう 
に指定します。 


プリブート認証- BIOS パスワードの代わりに指紋を使用する 

Windows ログオンとは異なり、 BIOS パスワードの認証要求は、 BIOS が使用されるように構成されている 
ときにのみ、指紋センサーで機能します。デフォルトでは、 BIOS は、指紋センサー付きキーボードが接 
続されている場合、そのキーボードによる指紋の読み取りを認識します。指紋センサー付きキーボードが 
接続されていない場合、 BIOS は、内蔵指紋センサー•デバイスでの指紋読み取りを認証に使用します。 

外部指紋センサー付きキーボードが接続されているときでも 、 Reader Priority の BIOS 設定を、内蔵指紋セ 
ンサーを強制的に使用するように変更できます 。 Reader Priority のデフォルト値は 『 External 』 です。設定 
を 『Internal Only 』 に変更して、内蔵指紋センサーを強制的に使用することができます。 

注：この BIOS 設定は、 BIOS 上の指紋プロンプトのみに適用されます 。 Windows ログオンや Client 
Security Solution の指紋認証要求には影響しません。 
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プリプート認証を使用可能にするための Fingerprint Software の構成 

BIOS でスーパーバイザー、パワーオン、またはハードディスク • ドライブ•パスワードを設定した 
場合は、これらのパスワードを入力する代わりに、認証に指紋認証ソフトウェアを使用するように 
構成できます。 

Lenovo Fingerprint Software - 内蔵指紋センサーの場合 

1. 『スタート 』— r プログラム』 — 『 ThinkVantage 』 -► 『Lenovo Fingerprint Software 』 の順にク 

リックして、 Fingerprint Software を開始します。 

2. 指紋を読み取らせるか、または Windows パスワードを入力するように求められたら、パスワード 
を入力します。 

3. ウィンドウの上部にある 『設定』 をクリックします。 

4. 『パワーオンセキュリティとハードドライブのパスワードではなく指紋スキャンを使用する』 チェッ 
ク•ボックスと 『パワーオンセキュリティのオプションを常に表示する』 チェック•ボックスを選 
択してから、 『 OK 』 をクリックしてウィンドウを閉じます。 

5. 登録された指紋の1つを選択して、指紋を使用可能に設定し、 BIOS パスワードを置き換えます。 

6. 『閉じる』 をクリックして、ウィンドウを閉じます。 

ThinkVantage Fingerprint Software (Windows XP) - 外部指紋センサーの場合 

1. 『スタ ー ト』 - ►プログラム— 『 ThinkVantage 』 - ► ThinkVantage Fingerprint Software の順にクリックし 
て、 Fingerprint Software 開!!台し S す。 

2. ウィンドウの上部にある 『設定』—『パワーオン•セキュリティー』 をクリックします。 

注：『パワーオン•セキュリティー』 設定が選択不可の場合は、次のようなレジストリー項目を 
作成して、この設定を表示します。 

[HKEY_LOCAL_MACHINE¥SOFTWARE¥Protector Suite QLY1.0] 

REG_DW0RD "BiosFeatures" = 2 

3. 『コンピューターの起動に指紋を使用する』 チェック•ボックスを選択してから、 『 OK 』 をク 
リックしてウィンドウを閉じます。 

4. 『指紋』—『指紋を登録/編集』 をクリックして、ウィンドウを表示します。 

5. 指紋を読み取らせるか、または Windows パスワードを入力するように求められたら、パスワード 
を入力します。 

6. 登録された指紋の1つを選択して、指紋を使用可能に設定し、 BIOS パスワードを置き換えます。 

7. 『終了』 をクリックして、ウィンドウを閉じます。 

ThinkVantage Fingerprint Software (Windows Vista) - 外部指紋センサーの場合 

1. r スタート』 今 『プログラム』 今 『 ThinkVantage 』 今 『ThinkVantage Fingerprint Software 』 の順にク 

リックして、 Fingerprint Software を開始します。 

2. 指紋を読み取らせるか、または Windows パスワードを入力するように求められたら、パスワード 
を入力します。 

3. ウィンドウの上部にある 『設定』 をクリックします。 

4. 『パワーオンセキュリティとハードドライブのパスワードではなく指紋スキャンを使用する』 チェッ 
ク•ボックスと 『パワーオンセキュリティのオプションを常に表示する』 チェック•ボックスを選 
択してから、 『 OK 』 をクリックしてウィンドウを閉じます。 

5. 登録された指紋の1つを選択して、指紋を使用可能に設定し、 BIOS パスワードを置き換えます。 

6. 『閉じる』 をクリックして、ウインドウを閉じます。 
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付録 A OmniPass を使用する際の考慮事項 


Softex ◎の OmniPass は、 Web サイトやアプリケーションに安全にログインできるようにし、 PC 上のデー 
夕を保護するプログラムです。 OmniPass は、 Client Security Solution が提供するインターフエースを通 
じて PC の TPM にアクセスし、利用することができます。 TPM を利用するには、 OmniPass をインス 
卜ールする前に Client Security Solution をインストールする必要があります。両方の製品が提供する機 
能が類似しているため、 OmniPass をインストールすると Client Security Solution の機能の一部が無効に 
なったり、隠される場合があります。 

さらに、両方のプログラムをインストールすると競合が発生します。次の表に発生しうる競合をリスト 
しています。これらをよく検討してください。 


表 3J. Omnipass との機能のオーバーラップ 


機能 

機能のオーバーラップ 

考慮事項 

指紋認証 

ThinkVantage 指紋認証ソフトウェア 
と OmniPass は、それぞれ別個に指紋 
登録を必要とします。 

ThinkVantage 指紋認証ソフトウェア 
への指紋登録は、指紋を使用する 
起動前認証をサポートするために 
必要です。 ThinkVantage 指紋認証ソ 
フトウェアに登録された指紋は、 
OmniPass に登録された指紋から独立 
しています。 OmniPass をインストー 
ルすると、『スタート』メニューか 
ら ThinkVantage 指紋認証ソフトウェ 
アのコントロール • センターのリン 
クが隠されます。 

パスワード管理 

Client Security Solution こ OmniPass t ま 
両方とも Password Manager を提供し 
ます。 

Client Security Solution の Password 
Manager は OmniPass をインストール 
すると自動的に無効になります。 

Windows ログオン 

Client Security Solution こ OmniPass は 
両方とも Windows ログオン•イン 
ターフェースを提供します。 

Client Security Solution の ログオン • 

インターフエースは OmniPass をイ 
ンストールすると自動的に無効にな 
ります。 

注 ： Client Security Solution ログオ 
ン•インターフェースが無効になる 
と、 Windows ログオン中は、忘れ 
てしまった Windows パスワードを 
Client Security Solution のパスワード 
の復元機能を使用して復元すること 
はできません。 

ファイルの暗号化 

Client Security Solution 8.21 と 

OmniPass は両方ともフアイルの暗号 
化アプリケーシヨンを提供します。 

これら両方のバージョンを共存させ 
ることはできますが、混乱を避ける 
ため、 Client Security Solution 7.0 およ 
びそれ以前の Private Disk はアンイン 
ストールしてください。 

暗号インターフェース 

Client Security Solution と OmniPass 
は両方とも CSP および PKCS#11 
モジユールを提供します。 Client 
Security Solution 日 音号インターフェー 
スでは、 OmniPass から独立した認証 
が使用されます。 

暗号操作では Client Security Solution 
の CSP または PKCS#1 1 モジュール 
を選択しないでください。 
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表 33. Omnipass との機能のオーバーラップ（続き) 


機能 

機能のオーバーラップ 

考慮事項 

ユーザー認証 

Client Security Solution と OmniPass CD 
両方が ユーザー 認証のプロンプトを 
出す場合があります。 

Client Security Solution と OmniPass の 
両方を使用している場合、ユーザー 
がそれらの認証プロンプトの違いを 
理解し、それぞれのプロンプトに 
(指紋を含む）適切な認証情報を入力 
することが必要です。 

機能へのアクセス 

Client Security Solution およひ 
OmniPass は『スタート』メニュー 
にあるアプリケーシヨンからそれぞ 
れの機能にアクセスするため、ユー 
ザーが混乱する可能性があります。 

このため、『スタート』メニューか 
ら Client Security Solution を削除して 
ください。 


上記の考慮事項に加え、 Omnipass では以下のような問題が検出される場合があります。 

• 指紋プラグインからメモリー不足のエラー • メッセージが表示された場合は、このエラー • メッセージ 
を無視して、 Omnipass の使用を続行してください。 

• Windows パスワードが NULL のユーザーの場合は、 TPM の登録は機能しません。 
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付録 B ThinkPad ノー トブック • モデルで Lenovo 指紋センサー付 
きキーボードを使用する際の特別な考慮事項 


一部の ThinkPad ノートブック • モデルで使用する指紋センサー • デバイスは、 Lenovo 指紋センサー付き 
キーボードで使用する指紋センサー • デバイスと異なります。一部の ThinkPad ノートブック • モデルで指 
紋センサー付きキーボードを使用するときには、特別な考慮が必要となる可能性があります。 

詳細については 、 Lenovo Web サイトにある指紋認証ソフトウエア • ダウンロード • ページにアクセスし 
てください。該当する ThinkPad ノートブック•モデルがリストされています。 

指紋センサー付きキーボードと共に使用するときに特別な考慮が必要なのは 、 『Lenovo Fingerprint 
Software 』 の欄にリストされているモデルのみです 。 『ThinkVantage Fingerprint Software 』 を使用する他の 
すべての ThinkPad ノートブック • モデルは、指紋センサー付きキーボードに組み込まれているデバイスと 
互換性のある指紋センサー • デバイスを使用し、特別な考慮は必要ありません。 


設定とセットアップ 

Lenovo Fingerprint Software 2.0 以降は 、 ThinkPad ノー トブックで使用する指紋センサー • デバイスと共に使 
用できるようにインストールする必要があります。ユーザーは、内蔵されている指紋センサー•デバイス 
を使用して 、 Lenovo Fingerprint Software に指紋を登録する必要があります。 

ThinkVantage 指紋認証ソフトウエア 5.8 以降は 、 Lenovo Fingerprint Keyboard と共に使用できるようにイン 
ストールする必要があります。ユーザーは、その指紋センサー付きキーボードを使用して 、 ThinkVantage 
指紋認証ソフトウェアに指紋を登録する必要があります。 

注： 1つのデバイスに登録された指紋を、他のデバイスと交換することはできません。 


ワークスペース認証 

ワークスペース認証には、標準装備の指紋センサー • デバイスまたは指紋センサー付きキーボードが 
使用されます（システム電源をオンにする際のパスワードまたはハードディスク • ドライブのパス 
ワードが指紋認証に置き換わります)。システムの電源がオンになると、使用するデバイスが BIOS に 
よって決定されます。 

デフォルトでは、 BIOS は、指紋センサー付きキーボードが接続されている場合、そのキーボードによ 
る指紋の読み取りのみを受け入れます。ワークスペース認証の場合、指紋センサー付きキーボードが 
接続されているときには、内蔵されている指紋センサー • デバイスによる指紋の読み取りは無視され 
ます。指紋センサー付きキーボードが接続されていない場合は、ワークスペース認証に、内蔵されて 
いる指紋センサー • デバイスが使用されます。 

『 ReaderPriority 』 の BIOS 設定を、標準装備の指紋センサーを使用するように変更できます 。 『Reader 
Priority 』 が 『Internal only 』 に設定されている場合は、ワークスぺース認証に、内蔵されている指紋セン 
サーを使用できます。この場合は、指紋センサー付きキーボードによる指紋の読み取りは無視されます。 


Windows ログオン 

Lenovo Fingerprint Keyboard および ThinkPad で使用される指紋センサー • デバイスは、指紋認証で Windows 
にログオンするためのインターフェースをそれぞれ独自に備えています。 

重要： 指紋ログオン • インターフェースが正しく構成されていない場合は、互換性の問題により、ログオ 
ンに問題が生じる可能性があります。 
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Windows XP •ようこそ画面 

Windows XP のようこそ画面での Lenovo Fingerprint Keyboard または標準装備の ThinkPad 指紋センサーを使 
用したログオンをサポートするために 、 Lenovo Fingerprint Software と Think Vantage 指紋認証ソフトウェア 
の両方のログオン•インターフェースを使用可能にしておく必要があります。 

Windows XP のようこそ画面が使用可能になっている状態でログオンするときに、両方の指紋ログオン • 
インターフェースが使用可能になっている場合は、ユーザーが、指紋センサー付きキーボードと内蔵され 
ている指紋センサー • デバイスのどちらかで指紋を読み取らせて、ログオンできます。 

注： BIOS の 『Reader Priority 』 設定は、この状態では適用されません。両方のデバイスが使用可能になっ 
ているときには、どちらかのデバイスをログオンに使用できます。 

WindowsXP のようこそ画面を使用可能にするには、 WindowsXP の『コントロールパネル』の『ユーザー 
アカウント』を使用します。 

Lenovo Fingerprint Software (内蔵された指紋センサーの場合）および Think Vantage Fingerprint Software (指紋セ 
ンサー付きキーボードの場合）の指紋ログオン • インターフェースを使用可能にするには、それぞれの 
Fingerprint Software アプリケーシヨンの『設定』オプションを使用します。 


Windows XP - クラシック • ログオン.プロンプト 

重要： WindowsXP のクラシック • ログオン • プロンプト (GINA ログオン • インターフェース）が使用可能 
になっている場合は 、 Lenovo Fingerprint Software と ThinkVantage 指紋認証ソフトウェアの指紋ログオン • 
インターフェースを同時に使用可能にしてはなりません。両方のログオン • インターフェースを使用可能 
にして、 WindowsXP のようこそ画面を使用しない場合は、予期しない結果が生じる可能性があります。 

WindowsXP のクラシック • ログオン*プロンプトが必要で（例えば、ドメインへのログオンをサポートす 
る場合など)、いずれかのセンサーによる指紋認証ログオンを選択した場合は 、 Client Security Solution ログ 
オン*インターフェースを使用可能にする必要があります 。 Client Security Solution ログオン•インター 
フェースが使用可能になっているときには、指紋センサー付きキーボードと内蔵されている指紋セン 
サー • デバイスのどちらを使用しても、 Windows にログオンできます。 

注： このオプションは 、 Client Security Solution 8.21 以降でのみ、使用できます。 

Client Security Solution のログオン•インターフェースは、『スタート』メニューの 『 Client Security 
Solution 』 から使用可能にすることができます 。 Client Security Solution のログオン • インターフェースを 
構成するためのオプションは 、 Client Security Solution の『拡張』メニューから『セキュリティー•ポ 
リシーの管理』を選択すると、表示できます。 

Lenovo Fingerprint Software および ThinkVantage Fingerprint Software のログオン • インターフェースが、 
それぞれの Fingerprint Software アプリケーシヨンの『設定』オプションで使用不可になっていること 
を確認してください。 


Windows Vista 

Windows Vista での Lenovo Fingerprint Keyboard または標準装備の ThinkPad 指紋センサーを使用したログオ 
ンをサポートするために 、 Lenovo Fingerprint Software と ThinkVantage 指紋認証ソフトウェアの両方のログ 
オン•インターフェースを使用可能にしておく必要があります。 

Windows Vista で両方の指紋ログオン • インターフェースが使用可能になっている場合は、ユーザーが、 
指紋センサー付きキーボードと内蔵されている指紋センサー • デバイスのどちらかで指紋を読み取ら 
せて、ログオンできます。 
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注： 

1. BIOS の 『 ReaderPriority 』 設定は、このシナリオでは適用されません。両方のデバイスが使用可能に 
なっているときには、どちらかのデバイスをログオンに使用できます。 

2. どちらの指紋センサーもログオンに使用できますが、指紋ログオンの場合は 、 Windows Vista のログオ 
ン画面に1つのタイルまたはボタンしか表示されない可能性があります。 

また、指紋センサー付きキーボードまたは内蔵されている指紋センサー • デバイスを使用したログオ 
ンをサポートするために、指紋認証ソフトウェアのログオン•インターフェースではなく 、 Client 
Security Solution のログオン•インターフェースを使用できます。ただし、この機能は 、 Client Security 
Solution 8.21 以降でのみ使用できます。 

Client Security Solution のログオン•インターフェースを使用する場合は、それぞれの Fingerprint Software ア 
プリケーションの『設定』オプションから 、 Fingerprint Software のログオン•インターフェースを使用不 
可にする必要があります 。 Client Security Solution のログオン•インターフェースは、『スタート』メ 
ニューの IT Client Security Solution J から使用可能にすることができます 。 Client Security Solution のログオ 
ン•インターフェースを構成するためのオプションは 、 Client Security Solution の『拡張』メニューから 
『セキュリティー • ポリシーの管理』を選択すると、表示できます。 


Client Security Solution での認証 

注：次の情報は 、 Client Security Solution 8.21以降のみに適用されます 。 Client Security Solution の従来の 
バージヨンでは、内蔵されている指紋センサー • デバイスと指紋センサー付きキーボードとの併用 
はサポートされていませんでした。 

Client Security Solution を使用して指紋認証が必要なアクシヨンを実行するときには（例えば 、 Password 
Manager を使用して Web サイトにパスワードを自動入力する場合など)、ユーザーは、指紋センサー付 
きキーボードが接続されていたら、指紋を求められたときに指紋を読み取らせる必要があります。指 
紋センサー付きキーボードが接続されているときには、標準装備の指紋センサー • デバイスによる指 
絞の読み取りは無視されます。指紋センサー付きキーボードが接続されていない場合は、内蔵されて 
いる指紋センサーを使用する必要があります。 

Client Security Solution での認証に標準装備の指紋センサーを使用するようにユーザーに求めるには、レ 
ジストリー設定を使用できます。このレジストリー項目が設定された場合は 、 Client Security Solution 
での指紋認証を標準装備のセンサーで行なう必要があり、指紋センサー付きキーボードからの指紋の 
読み取りは無視されます。 

レジストリー項目は次のとおりです。 

[HKLMYSoftwareYLenovoYTVT CommonYClient Security Solution] 

REG_DW0RD "PreferlnternalFPSensor"=1 

Client Security Solution での指紋認証を標準装備のセンサーで行なう必要があるとき、上記のレジストリー 
項目のデフォルト値は0で、指紋センサー付きキーボードからの指紋の読み取りは無視されます。 

この設定は 、 Client Security Solution の Administrative Template ファイルを Active Directory のグループ•ポリ 
シーと共に使用して、変更することもできます。 

注： 

1. BIOS の 『Reader Priority 』 設定が 『Internal onlv 』 に設定されている場合、レジストリ ー 項目値を1に 
設定することをお勧めします。これにより 、 Client Security Solution での認証で、 BIOS ワークスペース 
認証の設定をシミュレートできるようになります。 

2. BIOS 設定とこのレジストリー設定は独立しています。 


付録 B . ThinkPad ノー トブック.モデルで Lenovo 指紋センサー付きキーボードを使用する際の特別な考慮事項 73 



74 Client Security Solution 8.21 デブ ロイ メン 



付録 C Windows パスワードのリセット後に CSS でパスワード 
を同期化する 

Windows パスワードがリセットされた後、 Client Security Solution によって、新しい Windows パスワードを 
入力するように連続して求められますが、パスワードが誤っていることを示すエラー • メッセージが表 
示されます。 Windows セキュリティーはこのような方法で設計されているので、 Windows パスワード 
がリセットされると、セキュリティー • クレデンシャルが無効になります。パスワードをリセットし 
ようとするたびに、 Windows から警告メッセージが出されます。また、 Windows パスワードのリセッ 
卜の影響を受けるのは Client Security Solution のみではなく、 Windows EFS によって暗号化された証明 
書とファイルへのアクセスも失われます。 Client Security Solution が（パスワードをリセットした結果と 
して） Windows セキュリティー*クレデンシャルにアクセスできなくなると、 Client Security Solution は 
新しいパスワードを入力するように連続して求め、入力されたパスワードが無効であることを示すエ 
ラー • メッセージを表示します。 Windows セキュリティー • クレデンシャルがこの方法で無効になる 
と、 Client Security Solution は機能できなくなります。 Windows パスワードが変更されたら（例えば、旧 
パスワードと新パスワードの両方を指定するように求められた場合など)、新しいパスワードによっ 
てセキュリティー • クレデンシャルが保存され、保護されます。 

Windows パスワードのリセット後に CSS でパスワードを同期化するには、次のようにします。 

1. Windows パスワードをリセットする前にシステムのバックアップを復元します。 

2. Windows パスワードを元のパスワードにリセットします。これにより、 Windows セキュリティー•ク 
レデンシャルへのアクセスが復元されます。 

3. 新規 Windows アカウントを作成し、破損したクレデンシャルを使用した元のアカウントではなく、新 
規アカウントの使用を開始します。 

4. 次の方法に従って、システムをリカバリーします。 

a . Password Manager を起動します。 

b . 『インポート/エクスポート』をクリックし、『項目リストのエクスポート』を選択します。 

c . ファイルを保存する場所を指定し、ファイル名を入力します。 

d . 項目ファイルのパスワードを入力します。 

e . Password Manager を _ します。 

f . Client Security Solution を起動します。 

g . 拡張—セキュリティー設定の再構成の順にクリックします。 

h . 新しい Windows パスワードを入力するように求められたら、パスワードを入力します。 

i . Client Security Solution から、システムを再起動するように求められます。 

j . システムが再起動したら、 Password Manager を起動します。 

k . 『インポート/エクスポート』をクリックし、『項目リストのインポート』を選択します。 

l. 以前に保存したファイルを参照します。 

m . パスワードを入力するように求められたら、入力します。 
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付録 D 特記事項 


本書に記載の製品、サービス、または機能が日本においては提供されていない場合があります。日本で 
利用可能な製品、サービス、および機能については、レノボ•ジャパンの営業担当員にお尋ねくださ 
い。本書で Lenovo 製品、プログラム、またはサービスに言及していても、その Lenovo 製品、プログ 
ラム、またはサービスのみが使用可能であることを意味するものではありません。これらに代えて、 
Lenovo の知的所有権を侵害することのない、機能的に同等の製品、プログラム、またはサービスを 
使用することができます。ただし、 Lenovo 以外の製品、プログラム、またはサービスの動作•運用に 
関する評価および検証は、お客様の責任で行っていただきます。 

Lenovo は、本書に記載されている内容に関して特許権（特許出願中のものを含む）を保有している場合が 
あります。本書の提供は、お客様にこれらの特許権について実施権を許諾することを意味するものではあ 
りません。実施権についてのお問い合わせは、書面にて下記宛先にお送りください。 

Lenovo (United States), Inc. 

1009 Think Place - Building One 

Morrisville, NC 27560 

U.S.A. 

Attention: Lenovo Director of Licensing 

Lenovo およびその直接または間接の子会社は、本書を特定物として現存するままの状態で提供し、商品性 
の保証、特定目的適合性の保証および法律上の瑕疵担保責任を含むすべての明示もしくは黙示の保証責任 
を負わないものとします。国または地域によっては、法律の強行規定により、保証責任の制限が禁じられ 
る場合、強行規定の制限を受けるものとします。 

この情報には、技術的に不適切な記述や誤植を含む場合があります。本書は定期的に見直され、必要な変 
更は本書の次版に組み込まれます。 Lenovo は予告なしに、随時、この文書に記載されている製品また 
はプログラムに対して、改良または変更を行うことがあります。 

本書で説明される製品は、誤動作により人的な傷害または死亡を招く可能性のある移植またはその他の生 
命維持アプリケーションで使用されることを意図していません。本書に記載される情報が、 Lenovo 製品仕 
様または保証に影響を与える、またはこれらを変更することはありません。本書におけるいかなる記述 
も、 Lenovo あるいは第三者の知的所有権に基づく明示または黙示の使用許諾と補償を意味するものではあ 
りません。本書に記載されている情報はすべて特定の環境で得られたものであり、例として提示され 
るものです。他の稼働環境では、結果が異なる場合があります。 

Lenovo は、お客様が提供するいかなる情報も、お客様に対してなんら義務も負うことのない、自ら適切と 
信ずる方法で、使用もしくは配布することができるものとします。 

本書において Lenovo 以外の Web サイトに言及している場合がありますが、便宜のため記載しただけであ 
り、決してそれらの Web サイトを推奨するものではありません。それらの Web サイトにある資料は、こ 
の Lenovo 製品の資料の一部ではありません。それらの Web サイトは、お客様の責任でご使用ください。 

この文書に含まれるいかなるパフォーマンス•データも、管理環境下で決定されたものです。そのため、 
他の操作環境で得られた結果は、異なる可能性があります。一部の測定が、開発レベルのシステムで行わ 
れた可能性がありますが、その測定値が、一般に利用可能なシステムのものと同じである保証はありませ 
ん。さらに、一部の測定値が、推定値である可能性があります。実際の結果は、異なる可能性がありま 
す。お客様は、お客様の特定の環境に適したデータを確かめる必要があります。 


商標 

以下は、 Lenovo Corporation の米国およびその他の国における商標です 0 
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Lenovo 

Rescue and Recovery 
ThinkCentre 
ThinkPad 
Think Vantage 

Microsoft、Windows および Windows Vista は 、 Microsoft グループの商標です。 
他の会社名、製品名およびサービス名等はそれぞれ各社の商標です。 


78 Client Security Solution 8.21 デブロイ メント • ガイド 



用語集 

管理者 （ ThinkCentre )/ スーパーバイザー （ ThinkPad ) 
BIOS パスワード 

Advanced Encryption Standard ( AES ) 

B 音号 f 匕シスアム （Cryptography system ) 

Embedded Security Chip 

公開鍵/非対称鍵暗号化 （ Public - key / Asymmetric-key 
encryption ) 


スト レー ジ • ルー ト鍵 （ SRK ) 


管理者パスワードまたはスーパーバイザー.パス 
ワードは、 BIOS 設定を変更する能力を制御する 
ために使用される。これには、エンべデッド•セ 
キュリティー • チップを使用可能または使用不可 
にして、 TPM 内に保存されたストレージ • ルート 
鍵をクリアする機能が含まれる。 

Advanced Encryption Standard は对称雜音号化技法。 
アメリカ政府は、それまで使用していた DES 暗 
号化に置き換えて、このアルゴリズムをその暗号 
化技法として2000年10月に採用。 AES は、凶 
暴なアタックに対して56ビット DES キーよりも 
高度のセキュリティーを提供する。また AES で 
は、必要に応じて128、192および256ビット • 
キーの使用が可能。 

暗号化システムは、データの暗号化と復号の両方 
を行う単一の鍵を使用する対称鍵暗号化と、2つ 
の鍵（全員に知られている公開鍵と鍵ペアの所有者 
のみがアクセス権を持つ秘密鍵）を使用する公開鍵 
暗号化に、大きく分類される。 

エンべデッド.セキュリティー • チップは 、 TPM 
の別名。 

公開鍵アルゴリズムは通常、2つの関連した鍵の 
ペアを使用する。1つは秘密に保持されなければな 
らない秘密鍵で、もう一方は公開される鍵で広く 
配布される。鍵が1つあった場合、ペアのもう一 
方が推測できるようであってはならない。『公開 
鍵暗号化』という用語は、鍵の一部を公開情報に 
するというアイデアから得られる。すべてのパー 
ティーが同じ情報を保持しないことから、非対称鍵 
暗号化という用語も使用される。ある意味では、1 
つの鍵がロック（暗号）を『ロック』し、別の鍵は 
それをアンロック（復号）することを要求される。 

ストレージ • ルート鍵 （ SRK ) は2,048ビット（ある 
いはそれ以上）の公開鍵ペア。これは最初は空で、 
TPM 所有者が割り当てられたときに作成される。 
この鍵ペアは、エンべデッド.セキュリティー • 
チップをそのままでは放置しない。 TPM の外部に 
あるストレージの秘密鍵を暗号化（ラップ）し、 
TPM にロード • バックされたときにそれらを復号 
する。 SRK は、 BIOS にアクセスのある人なら誰 
でもクリアすることができる。 



対称鍵暗号化 ( Symmetric-key encryption ) 対称鍵暗号化暗号はデータの暗号化と復号に同じ 

鍵を使用する。対称鍵暗号は簡単で高速だが、主 
な欠点は、2つのパーティーが何らかのセキュアな 
方法で鍵を交換しなければならないことにある。 
公開鍵暗号化は、公開鍵は非セキュアな方法で配 
布可能であり、秘密鍵は転送されることがないの 
で、この問題を回避している 。 Advanced Encryption 
Standard は対称鍵の一例。 

TPM (Trusted Platform Module ) TPM は特別な目的を持ってシステム内にビルドさ 

れた集積回路で、強力なユーザー認証と PC 検査 
を可能にする。 TPM の主な目的は、機密情報への 
不適切なアクセスを防止することにある。 TPM は 
ハードウェア*ベースの信頼の基幹機能で、シス 
テム上のさまざまな暗号サービスを提供するよう 
に活用することができる。 TPM の別名はエンべ 
デッド.セキュリティー.チップ。 
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